Hallo.
Ich beschäftige mich mal wieder mit den ACE/ACL-Regeln auf unserem Cisco-Layer3-Switch (SG300-28). Bei uns ist alles laut Anleitung unter https://www.linuxmuster.net/wikiarchiv/dokumentation:addons:subnetting:l3switch
eingerichtet.
Nun wollte ich einem speziellen Subnetz die Zugriffsrechte auf das Servernetz fast komplett entziehen und habe diese Regeln angelegt und entsprechend an das VLAN gebunden:
Die erste Regel erlaubt (eigenlich!) NUR noch den Zugriff auf eine einzige IP des NAS’ im Servernetz. Die zweite Regel erlaubt Zugriff untereinander und die dritte Regel soll alles andere verbieten – eigentlich! Denn: Wenn ich in diesem Subnetz unterwegs bin, kann ich trotzdem weiterhin problemlos den Server unter 10.16.1.1 und alles andere im Servernetz erreichen – obwohl das laut ACE/ACL eigentlich verboten sein müsste!?
Ich habe schon gelesen, dass für ACLs diese Grundregeln gelten:
“First Match wins” - d.h. die erste Bedingung die stimmt bewirkt, dass die nachfolgenden Regeln nicht mehr abgearbeitet werden. Wenn ich aber “ping 10.16.1.1” absetze, würde ich meinen, dass Regel 95 greift – tut sie aber offenbar nicht?!? Hat jemand eine gute Erklärung?
P.S.: Fußnote 7) aus o.g. Link interessiert mich sehr – hat das jemand umgesetzt?
Schöne Grüße,
Michael
Hallo Michael,
Die erste Regel erlaubt (eigenlich!) NUR noch den Zugriff auf eine
einzige IP des NAS’ im Servernetz. Die zweite Regel erlaubt Zugriff
untereinander und die dritte Regel soll alles andere verbieten –
eigentlich!
direkt Helfen knn ich dir nucht, ich will nur Anmerken, dass die IP
10.16.1.111 die du wohl für dein NAS vorgesehen hast, eine sehr
schlechte Wahl ist: sie liegt im DHCP Lease des Servernetzes (wenn du
das nicht im Servernetz abgeschaltet hast) könnte also durchaus mal vom
DHCP für einen anderen Client vergeben werden.
LG
Holger
Hi Holger,
das ist bei uns egal, da im Servernetz gar kein DHCP-Server mehr läuft (was ich auch sinnvoll finde, da dort niemand etwas zu suchen hat, dem ich keine IP manuell verpasse).
Mir fiel aber etwas anderes ein: Es könnte der Eintrag in der subnets-Datei sein – da kann man ja mit den letzten beiden Einträgen einstellen: Intranet 0/1 und Internet 0/1. Ich habe beides auf 1. Würde evtl zur Beobachtung passen, wobei der Router ja trotzdem Priorität haben müsste?!?
Schöne Grüße,
Michael
Ja, das war’s! Wenn man in der Subnet-Datei den vorletzten Eintrag auf 0 setzt, wird der Zugriff auf den Server unterbunden.
Der zweite Grundsatz zur Erstellung von ACE/ACL-Regeln lautet übrigens:
Das Filtern wirkt nur Inbound also für alle Pakete die eingehend sind IN das L3 Interface des Switches!!
An einer Lösung zu Fußnote 7 bin ich aber weiterhin sehr interessiert:
- Eigentlich wäre eine ACL für alle Subnetze zunächst ausreichend. Damit wir jedoch irgendwann einmal in der Lage sind dem Lehrkräftenetz eine ACE für den Zugriff auf das Verwaltungsnetz zuzuweisen, legen wir von vornherein gleich zwei ACLs an.
