Zum Inhalt springen

ACL auf Routernetz zugreifen (CISCO Packet Tracer 5.1)


Empfohlene Beiträge

Geschrieben

Hallo,

wie muss die ACL ausschauen (Cisco) und wo genau muss ich sie platzieren, damit ich nur mit einem Rechner (siehe Bild) auf das Routerverbindungsnetz zugreifen kann aber die anderen Rechner nicht. Verkehr zwischen den Rechner soll funktionieren.

szenario1.png

Also vom Rechner 192.168.1.10 soll "ping 200.210.210.129"

und "ping 200.210.210.130" möglich sein, die anderen sollen nicht jeweils auf die .129 und .130 anpingen.

Ich dachte mir auf R0 und R1

jeweils auf Interface fa0/0 und ser0/3/0 auf die Richtung IN eine extended ACL zuweisen.

...

"access-list 101 permit ip host 192.168.1.10 200.210.210.128 0.0.0.3"

"access-list 101 deny ip any 200.210.210.128 0.0.0.3"

...

"ip access-group 101 in"

Ich kann jetzt mit den anderen Rechner nicht auf .129 und .130 zu greifen wie auch gewollt, jedoch kann ich mit dem Rechner 192.168.1.10 auch nicht auf .129 zugreifen, jedoch .130 geht problemlos..

Was mach ich da falsch ? :(

mfg

K.G

Geschrieben (bearbeitet)

Wo du das implementierst, ist eigentlich egal, damit es funktionieren kann.

Ich würde dir aber dazu raten, das an der ersten möglichen stellen zu machen, an der der Traffic gefiltert werden kann. Also entweder am Fa0/0 vom R1 oder sogar schon auf dem Switch davor.

Auf ser0/3/0 müsste das wenn dann Richtung OUT, nicht IN sein.

Wie du sie genau implementierst, gibt es auch wieder zwei Möglichkeiten. Denk aber dran, dass du das dann von beiden Seiten machen musst.

  • Explizit die IPs verbieten, die nicht drauf zugreifen dürfen sollen und alles andere freigeben
  • Alles verbieten und nur für dich den Zugriff explizit freigeben. Dann musst du natürlich auch noch alles andere, was erlaubt werden soll freigeben in der ACL.

Ich würde es z.B. so machen.

ip access-list extended TEST

permit icmp host 192.168.1.10 200.210.210.128 0.0.0.3

deny icmp any 200.210.210.128 0.0.0.3

Damit wird explizit icmp für deinen Rechner auf die anderen freigegeben und icmp von den anderen auf das Netz gesperrt.

Bearbeitet von Crash2001
Geschrieben

Danke für deine Antwort Crash2001 ;)

"access-list 101 permit ip host 192.168.1.10 200.210.210.128 0.0.0.3"

"access-list 101 deny ip any 200.210.210.128 0.0.0.3"

"access-list 101 permit ip any any"

int fa0/0 IN

int ser0/3/0 OUT

es funktioniert, war dumm von mir, hab natürlich wie du es erwähnt hast..

permit ip any any vergessen, am Ende der ACL steht ja immer deny any any :D

mfg

K.G

Geschrieben (bearbeitet)

Du verbietest aber mit deiner Access-Liste nicht nur Ping, sondern generell jegliche Kommunikation die über IP geht zu den Routern.

Klar, das funktioniert auch, war aber nicht das, wonach du genau gefragt hattest. :rolleyes:

ICMP ist Bestandteil von IP und echo ist ein Bestandteil des ICMP-Protokolls. Das wird fürs pingen genutzt.

Wenn natürlich auch sonst keine Kommunikation mit den beiden Routern möglich sein soll (z.B. Administration per Weboberfläche o.ä.), dann ist das auch mit ip verbieten ok. Ansonsten sollte man es auf ICMP beschränken, oder dabei sogar noch auf echo reply und/oder echo request. (Eins davon in der entsprechenden Richtung sollte ausreichen.)

Ping sendet ein ICMP-„Echo-Request“-Paket (ping) an die Zieladresse des zu überprüfenden Hosts. Der Empfänger muss dann ein ICMP „Echo-Reply“ (pong) an den Absender zurücksenden, damit du siehst, dass er antwortet.

Wenn die rechner im Netz 192.168.1.128/25 die beiden Router auch nicht anpingen können dürfen, dann musst du das auch noch entsprechend auf dem Router R0 mit den entsprechend anderen Quell-IPs machen. Der Traffic würde ja nicht über Router R1 gehen und somit auch nicht blockiert werden, wenn es nicht auch auf Router R0 implementiert ist.

Bearbeitet von Crash2001

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...