Trädvy Permalänk
Medlem
Plats
Skåne, Åstorp
Registrerad
Apr 2003

ACL'er i en Cisco-switch

Ska skicka en färdigkonfigurerad switch för användning på annan plats, och behöver lite hjälp ang ACL'erna. Hade jag kunnat konfigurera switchen på plats hade jag testat mig fram. Men nu behöver jag vara säker innan den postas. Är en 8portars WS-C2960-8TC-S med c2960-lanlitek9-tar.150-2.SE. En av FE portarna behöver filtrera spökringningar för SIP på port 5060 och tillåta HTTP för fjärraccess till systemet bakom. Jag behöver lite synpunkter på om ACL'erna är rätt utformade/om jag tänkt rätt.

access-list 101 permit udp 80.90.0.98 0.0.255.255 any eq 5060
access-list 101 permit tcp 60.60.200.138 0.0.0.255 any eq 80
access-list 101 permit icmp any any echo-reply
access-list 101 deny ip any any

access-list 101 permit udp 80.90.0.98 0.0.255.255 any eq 5060
Ovan ACL är tänkt att släppa igenom UDP-trafik från spannet 80.90.0.0 till 80.90.255.255 till valfri destination på port 5060.
Div enbart tillåta SIP-signalering från ett specifikt subnät.

access-list 101 permit tcp 60.60.200.138 0.0.0.255 any eq 80
Ovan ACL är tänkt att släppa igenom TCP-trafik från spannet 60.60.200.0 - 60.60.200.255 till valfri destination på port 80.
Div enbart tillåta HTTP access från ett specifikt subnät.

access-list 101 permit icmp any any echo-reply
Ovan ACL är tänkt att släppa igenom ping från avsändare till alla mottagare.

access-list 101 deny ip any any
Denna är tänkt att stoppa all trafik som inte har sorterats ut från någon av ovan ACL'er.
Behöver jag verkligen denna? Finns det inte en default deny i slutet av alla access-listor?

Rätt/fel?

Trädvy Permalänk
Medlem
Plats
Västerås
Registrerad
Mar 2011

Vad skall du applicara ACLen? Inkommande/utgående? VLAN/port?
Du inser att du blockar allt annat än dina tre permits?
Endast tillåta echo-reply anses normalt vara litet snålt. Time-exceeded o unreachable brukar man som minimum dessutom släppa på.

Deny ip any any behöver du inte på slutet. Den är implicit. Ibland kör man den med "log" på slutet för logga/felsöka - men inte annars.

Trädvy Permalänk
Medlem
Plats
Skåne, Åstorp
Registrerad
Apr 2003

>Vad skall du applicara ACLen? Inkommande/utgående? VLAN/port?
Direkt på en port. Och gälla inkommande trafik från internet. Sett till porten är det trafik som flyter ut från porten. Som exempel är det port GE9 som är kopplad mot en fiberkonverterare (Internet). Och port FE8 som är kopplad till utrustningen. Vill ha ACLen på port FE8 och bara gälla trafik som går ut på den. Vilket gäller då? In/ut?

>Du inser att du blockar allt annat än dina tre permits?
Japp. Utrustningen har flera interface för programmering och hantering som går över andra accesser.

>Endast tillåta echo-reply anses normalt vara litet snålt. Time-exceeded o unreachable brukar man som minimum dessutom släppa på.
Tänkte blockera ping helt och hållet från början. Men då lägger jag på:
access-list 101 permit icmp any any time-exceeded
access-list 101 permit icmp any any unreachable

>Deny ip any any behöver du inte på slutet. Den är implicit. Ibland kör man den med "log" på slutet för logga/felsöka - men inte annars.
Toppen, då kan jag plocka bort den.

Trädvy Permalänk
Medlem
Registrerad
Dec 2008

Om "80.90.0.98" osv. sitter bakom fa8 ska den sitta på in. Annars blir det på ut om du har "80.90.0.98" ute på internet. Rita routern/switchen, interfacen och sedan en pil i rätt riktning. Sedan ser du dig som utrustningen och en pil in i utrustningen blir då i riktning in.

Man kan lägga en deny i botten för att förtydliga att där ligger en deny. Men annars ligger en implicit.

Trädvy Permalänk
Medlem
Plats
Göteborg
Registrerad
Nov 2011

precis som Jocke säger så finns det alltid en Deny i botten men det skadar aldrig att skriva med den,

Du ska så länge du kan sätta accesslistor på in för att inte belasta CPUn, annars behandlas paketen i onödan innan dom kastas

Chassi: Cooler Master HAF X 942 CPU: Intel 3770k @ 4.2 Ghz CPU Kylare: Corsair H80 Ram:16 Gig Balistic X 1600 MhzGPU: Sapphire Radeon R9 290X med Arctic Accelero Xtreme MB: MSI Z77A-GD65 PSU: Chieftec Nitro 750w 80+ Bronze SSDer: Crucial M4 64gb + 2st KINGSTON SSDNOW V+200 128gb i Raid 0Hårddiskar: 2st WD Black 1TB i raid 0 + en WD Green 2TB

Trädvy Permalänk
Medlem
Plats
Skåne, Åstorp
Registrerad
Apr 2003
Skrivet av jocke92:

Om "80.90.0.98" osv. sitter bakom fa8 ska den sitta på in. Annars blir det på ut om du har "80.90.0.98" ute på internet. Rita routern/switchen, interfacen och sedan en pil i rätt riktning. Sedan ser du dig som utrustningen och en pil in i utrustningen blir då i riktning in.

Fick av en kompis förklaringen på IN/OUT är räknat från switchen (eller router). Div sett från switchen så är allt inkommande IN och allt utgående OUT. Vilket också stämmer med din förklaring.

Skrivet av Nickieponken:

Du ska så länge du kan sätta accesslistor på in för att inte belasta CPUn, annars behandlas paketen i onödan innan dom kastas

Tack för tipset. I det här fallet vill jag inte lägga något alls på inkommande interface, eftersom det finns övrig utrustning parallellt med min som sköts av andra aktörer.

Trädvy Permalänk
Medlem
Plats
Västerås
Registrerad
Mar 2011

Du har ett problem.

Lanlite stödjer inte ACLer på interface-nivå. Endast på VLAN.

Från 2960 Config guide:

If the switch is running the LAN Lite image, you can configure ACLs, but you cannot attach them to physical interfaces. When it is running either the LAN Lite or LAN base image, you can attach ACLs to VLAN interfaces to filter traffic to the CPU.

Trädvy Permalänk
Medlem
Plats
Skåne, Åstorp
Registrerad
Apr 2003
Skrivet av Tanis:

Du har ett problem.

Lanlite stödjer inte ACLer på interface-nivå. Endast på VLAN.

Från 2960 Config guide:

If the switch is running the LAN Lite image, you can configure ACLs, but you cannot attach them to physical interfaces. When it is running either the LAN Lite or LAN base image, you can attach ACLs to VLAN interfaces to filter traffic to the CPU.

Tack för länken. Förklarar "felet".

Switch(config-if)#ip access-group 101 in
%ERROR: Port-based ACLs are not supported with this image
Switch(config-if)#

Då får det bli på VLAN1 och till att revidera min lista. Hur blir nedan på native vlan? Här tillåter jag först trafik enbart från operatörens subnät mot den specifika IP-adressen för utrustningen på insidan. Sedan blockerar jag all övrig trafik till den utrustningen. I mitt sega söndagshuvud accepteras den första regeln för all önskad trafik. Medan den andra blockerar den oönskade. En permit ip any any i slutet får tillåta allt övrigt som inte fastnat i någon tidigare regel. Utrustningen bakom har bara port 5060 och 80 öppna för inkommande trafik. Tänks det rätt eller fel?

access-list 101 permit udp 80.90.0.98 0.0.255.255 80.90.53.11 0.0.0.0 eq 5060
access-list 101 deny udp any 80.90.53.11 255.255.255.255 eq 5060
access-list 101 permit tcp 60.60.200.138 0.0.0.255 80.90.53.11 0.0.0.0 eq 80
access-list 101 deny tcp any 80.90.53.11 0.0.0.0 eq 80
access-list 101 permit ip any any

Trädvy Permalänk
Medlem
Registrerad
Dec 2008
Skrivet av karlzon:

Tack för länken. Förklarar "felet".

Switch(config-if)#ip access-group 101 in
%ERROR: Port-based ACLs are not supported with this image
Switch(config-if)#

Då får det bli på VLAN1 och till att revidera min lista. Hur blir nedan på native vlan? Här tillåter jag först trafik enbart från operatörens subnät mot den specifika IP-adressen för utrustningen på insidan. Sedan blockerar jag all övrig trafik till den utrustningen. I mitt sega söndagshuvud accepteras den första regeln för all önskad trafik. Medan den andra blockerar den oönskade. En permit ip any any i slutet får tillåta allt övrigt som inte fastnat i någon tidigare regel. Utrustningen bakom har bara port 5060 och 80 öppna för inkommande trafik. Tänks det rätt eller fel?

access-list 101 permit udp 80.90.0.98 0.0.255.255 80.90.53.11 0.0.0.0 eq 5060
access-list 101 deny udp any 80.90.53.11 255.255.255.255 eq 5060
access-list 101 permit tcp 60.60.200.138 0.0.0.255 80.90.53.11 0.0.0.0 eq 80
access-list 101 deny tcp any 80.90.53.11 0.0.0.0 eq 80
access-list 101 permit ip any any

Nej det ser fel ut. Bland annat om det är en specifik ip skriver du inget wc. Du skriver host framför adressen. // är kommentarer så du för förstår. Tror inte switchen bryr sig om du klistrar in dem.

Här är en ny lista som jag tror jag fått rätt
access-list 101 permit udp 80.90.0.98 0.0.255.255 host 80.90.53.11 eq 5060
//Adresser som börjar med 80.90 tillåts för trafik mot 80.90.53.11 på port 5060
access-list 101 deny udp any host 80.90.53.11 eq 5060
//hindrar alla andra för trafik mot 80.90.53.11 på port 5060
access-list 101 permit tcp 60.60.200.138 0.0.0.255 host 80.90.53.11 eq 80
//Address som börjar med 60.60.200 tillåts att prata med 80.90.53.11 på port 80
access-list 101 deny tcp any host 80.90.53.11 eq 80
//blockerar övriga hostar att prata med 80.90.53.11 på port 80
access-list 101 permit ip any any
//tillåter resten

Trädvy Permalänk
Medlem
Plats
Skåne, Åstorp
Registrerad
Apr 2003
Skrivet av jocke92:

Nej det ser fel ut. Bland annat om det är en specifik ip skriver du inget wc. Du skriver host framför adressen.

Tack. Switchen accepterade raderna när jag skrev in dem. Men när jag kollade configen hade den skrivit om regeln. Div tagit bort wildcard och satt dig host framför adressen.

Switchen är nu inkopplad och fungerar som tänkt. Spökringningarna är borta.

Stort tack för hjälpen alla!

Trädvy Permalänk
Medlem
Plats
Örebro
Registrerad
Jan 2010
Skrivet av karlzon:

Tack. Switchen accepterade raderna när jag skrev in dem. Men när jag kollade configen hade den skrivit om regeln. Div tagit bort wildcard och satt dig host framför adressen.

Switchen är nu inkopplad och fungerar som tänkt. Spökringningarna är borta.

Stort tack för hjälpen alla!

Host eller att ange en wildcard med bara nollor blir samma resultat, det är bara smidigare att skriva med host istället för med wildcard.

Citat:

access-list 101 deny udp any 80.90.53.11 255.255.255.255 eq 5060

Den raden blockar udp port 5060 till alla adresser, inte bara till den du angivit. Om du inte har annan utrustning på någon annan adress inkopplad som behöver nås på den udp-porten så spelar det ingen roll, men den regeln du skrivit är mycket mer restriktiv än att bara blocka till just den adressen du ville.

En wildcardmask på 255.255.255.255 gör att den matchar vilket IP som helst, då alla värden får vara vad som helst och ändå matcha. Det är samma sak som att ange "any."

i7 6700k @ 4.6GHz | NH-U12S | ASUS Maximus VIII Gene | EVGA 1080 FTW | 16GB Corsair Vengeance 3000MHz | Samsung 850 Evo M.2 250GB, 840 250GB, 840 EVO 120GB | 2x2TB | Silverstone TJ08B-E | XB271HU | QX2710 | U2412M | Filco Majestouch MX Brown TKL