Cisco ACLs
Zur Navigation springen
Zur Suche springen
Konzept
- Access Liste bilden
- Default Policy ist impliziet deny
- Access Group anwenden
Standardlisten von 1 bis 99
Nur die Quelladresse wird geprüft
- switch-gelb#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
- switch-gelb(config)#access-list 1 permit 192.168.20.53
- switch-gelb(config)#end
Anzeigen der Access Listen
- switch-gelb#show access-lists
Standard IP access list 1 10 permit 192.168.20.53
Anwenden der Access Group
- switch-gelb#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
- switch-gelb(config)#interface Vlan1
- switch-gelb(config-if)#ip access-group 1 out
- switch-gelb(config-if)#exit
Von Vlan20 nach Vlan1
- Linux Host ip
- Linux Host ping
Linux freigeben
- switch-gelb#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
- switch-gelb(config)#access-list 1 permit 192.168.20.4
Anzeigen der neuen Access Liste
- switch-gelb#show access-lists
Standard IP access list 1 10 permit 192.168.20.53 20 permit 192.168.20.4
Ping von Linux Host geht
Erweitertelisten von 100 bis 199
- Quell- und Zieladresse sowie Quell- und Zielport als auch Protokoll
- Hier wird der Zugriff auf einen Nameserver frei geschaltet und ping(icmp) egal wohin
- switch-gelb(config)#access-list 100 permit tcp 192.168.20.0 0.0.0.255 host 192.168.240.200 eq 53
- switch-gelb(config)#access-list 100 permit udp 192.168.20.0 0.0.0.255 host 192.168.240.200 eq 53
- switch-gelb(config)#access-list 100 permit icmp 192.168.20.0 0.0.0.255 any
Access Liste anwenden
- switch-gelb#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
- switch-gelb(config)#interface vlan 1
- switch-gelb(config-if)#do show run int vlan1
Building configuration... Current configuration : 88 bytes ! interface Vlan1 ip address 192.168.240.154 255.255.248.0 ip access-group 1 out end
- switch-gelb(config-if)#no ip access-group 1 out
- switch-gelb(config-if)#ip access-group 100 out
Linux Ping geht Http nicht
Dienste Frei schalten
- ssh
- switch-gelb(config)#access-list 100 permit tcp 192.168.20.0 0.0.0.255 any eq 22
- smtp
- switch-gelb(config)#access-list 100 permit tcp 192.168.20.0 0.0.0.255 any eq 25
- http
- switch-gelb(config)#access-list 100 permit tcp 192.168.20.0 0.0.0.255 any eq 80
- microsoft-ns
- switch-gelb(config)#access-list 100 permit udp 192.168.20.0 0.0.0.255 any eq 137
- microsoft-ssn
- switch-gelb(config)#access-list 100 permit tcp 192.168.20.0 0.0.0.255 any eq 139
- imap
- switch-gelb(config)#access-list 100 permit tcp 192.168.20.0 0.0.0.255 any eq 143
- https
- switch-gelb(config)#access-list 100 permit tcp 192.168.20.0 0.0.0.255 any eq 443
- microssoft ds
- switch-gelb(config)#access-list 100 permit tcp 192.168.20.0 0.0.0.255 any eq 445
- imaps
- switch-gelb(config)#access-list 100 permit tcp 192.168.20.0 0.0.0.255 any eq 993
Benannte Accesslisten Standard
- switch-gelb#
- switch-gelb#configure terminal
- switch-gelb(config)#ip access-list standard sorry-acl
- switch-gelb(config-std-nacl)#permit 192.168.24.1
- switch-gelb(config-std-nacl)#deny 192.168.24.0 0.0.0.255
- switch-gelb(config)# exit
- switch-gelb#
Benannte Accesslisten Extended
- switch-gelb#
- switch-gelb#configure terminal
- switch-gelb(config)#ip access-list extended xinux-acl
- switch-gelb(config-ext-nacl)# permit tcp 192.168.20.0 0.0.0.255 any eq www
- switch-gelb(config-ext-nacl)# permit tcp 192.168.20.0 0.0.0.255 any eq 443
- switch-gelb(config-ext-nacl)# permit tcp 192.168.20.0 0.0.0.255 any eq domain
- switch-gelb(config-ext-nacl)# permit tcp 192.168.20.0 0.0.0.255 any eq smtp
- switch-gelb(config-ext-nacl)# permit udp 192.168.20.0 0.0.0.255 any eq domain
- switch-gelb(config-ext-nacl)# permit icmp 192.168.20.0 0.0.0.255 any
- switch-gelb(config-ext-nacl)# permit udp any any eq bootps