ACL auf Routernetz zugreifen (CISCO Packet Tracer 5.1)

[cisconeuling09]

Hallo,

wie muss die ACL ausschauen (Cisco) und wo genau muss ich sie platzieren, damit ich nur mit einem Rechner (siehe Bild) auf das Routerverbindungsnetz zugreifen kann aber die anderen Rechner nicht. Verkehr zwischen den Rechner soll funktionieren.

Also vom Rechner 192.168.1.10 soll "ping 200.210.210.129"

und "ping 200.210.210.130" möglich sein, die anderen sollen nicht jeweils auf die .129 und .130 anpingen.

Ich dachte mir auf R0 und R1

jeweils auf Interface fa0/0 und ser0/3/0 auf die Richtung IN eine extended ACL zuweisen.

...

"access-list 101 permit ip host 192.168.1.10 200.210.210.128 0.0.0.3"

"access-list 101 deny ip any 200.210.210.128 0.0.0.3"

...

"ip access-group 101 in"

Ich kann jetzt mit den anderen Rechner nicht auf .129 und .130 zu greifen wie auch gewollt, jedoch kann ich mit dem Rechner 192.168.1.10 auch nicht auf .129 zugreifen, jedoch .130 geht problemlos..

Was mach ich da falsch ?

mfg

K.G

[Crash2001]

Wo du das implementierst, ist eigentlich egal, damit es funktionieren kann.

Ich würde dir aber dazu raten, das an der ersten möglichen stellen zu machen, an der der Traffic gefiltert werden kann. Also entweder am Fa0/0 vom R1 oder sogar schon auf dem Switch davor.

Auf ser0/3/0 müsste das wenn dann Richtung OUT, nicht IN sein.

Wie du sie genau implementierst, gibt es auch wieder zwei Möglichkeiten. Denk aber dran, dass du das dann von beiden Seiten machen musst.

• Explizit die IPs verbieten, die nicht drauf zugreifen dürfen sollen und alles andere freigeben
  
• Alles verbieten und nur für dich den Zugriff explizit freigeben. Dann musst du natürlich auch noch alles andere, was erlaubt werden soll freigeben in der ACL.

Ich würde es z.B. so machen.

ip access-list extended TEST

permit icmp host 192.168.1.10 200.210.210.128 0.0.0.3

deny icmp any 200.210.210.128 0.0.0.3

Damit wird explizit icmp für deinen Rechner auf die anderen freigegeben und icmp von den anderen auf das Netz gesperrt.

Bearbeitet 17. Juni 2009 von Crash2001

[cisconeuling09]

Danke für deine Antwort Crash2001

"access-list 101 permit ip host 192.168.1.10 200.210.210.128 0.0.0.3"

"access-list 101 deny ip any 200.210.210.128 0.0.0.3"

"access-list 101 permit ip any any"

int fa0/0 IN

int ser0/3/0 OUT

es funktioniert, war dumm von mir, hab natürlich wie du es erwähnt hast..

permit ip any any vergessen, am Ende der ACL steht ja immer deny any any

mfg

K.G

[Crash2001]

Du verbietest aber mit deiner Access-Liste nicht nur Ping, sondern generell jegliche Kommunikation die über IP geht zu den Routern.

Klar, das funktioniert auch, war aber nicht das, wonach du genau gefragt hattest.

ICMP ist Bestandteil von IP und echo ist ein Bestandteil des ICMP-Protokolls. Das wird fürs pingen genutzt.

Wenn natürlich auch sonst keine Kommunikation mit den beiden Routern möglich sein soll (z.B. Administration per Weboberfläche o.ä.), dann ist das auch mit ip verbieten ok. Ansonsten sollte man es auf ICMP beschränken, oder dabei sogar noch auf echo reply und/oder echo request. (Eins davon in der entsprechenden Richtung sollte ausreichen.)

Ping sendet ein ICMP-„Echo-Request“-Paket (ping) an die Zieladresse des zu überprüfenden Hosts. Der Empfänger muss dann ein ICMP „Echo-Reply“ (pong) an den Absender zurücksenden, damit du siehst, dass er antwortet.

Wenn die rechner im Netz 192.168.1.128/25 die beiden Router auch nicht anpingen können dürfen, dann musst du das auch noch entsprechend auf dem Router R0 mit den entsprechend anderen Quell-IPs machen. Der Traffic würde ja nicht über Router R1 gehen und somit auch nicht blockiert werden, wenn es nicht auch auf Router R0 implementiert ist.

Bearbeitet 18. Juni 2009 von Crash2001

[cisconeuling09]

Hallo Crash2001,

srry natürlich habe ich den gesamten Traffic gemeint, nicht nur ICMP

wollte allgemein, dass die PCs nciht mit den Router kommunizieren können

danke dir

mfg