10
Firewallregeln
Hallo Zusammen,
ich habe noch Schwierigkeiten in der Umsetzung von den Accesslists auf einem Cisco Switch SG3501X.
Ich möchte an folgendem Beispiel Setup gerne die Accesslists verstehen:
Beschreibung:
Die Anfragen aus dem Internet sollen an den nginx Proxy Manager mit den Ports 443 u. 80 weitergeleitet werden.
Der Nginx Proxy Manager erkennt an der Domain wo er den Traffic hinrouten soll.
Das ganze funktioniert auch soweit.
Jetzt möchte ich aber auf dem Cisco nur die Ports 8001 (für die Nextcloud) und den Port 443 aus dem Internet in dem VLAN 2 (192.168.2.0) freigeben.
Wie müssen die dazugehörigen IPv4-Based ACE Einstellungen auf dem Cisco aussehen?
ACL VLAN 1 (Permit Any)
ACL VLAN 2 (Permit Any)
ich habe noch Schwierigkeiten in der Umsetzung von den Accesslists auf einem Cisco Switch SG3501X.
Ich möchte an folgendem Beispiel Setup gerne die Accesslists verstehen:
Beschreibung:
Die Anfragen aus dem Internet sollen an den nginx Proxy Manager mit den Ports 443 u. 80 weitergeleitet werden.
Der Nginx Proxy Manager erkennt an der Domain wo er den Traffic hinrouten soll.
Das ganze funktioniert auch soweit.
Jetzt möchte ich aber auf dem Cisco nur die Ports 8001 (für die Nextcloud) und den Port 443 aus dem Internet in dem VLAN 2 (192.168.2.0) freigeben.
Wie müssen die dazugehörigen IPv4-Based ACE Einstellungen auf dem Cisco aussehen?
ACL VLAN 1 (Permit Any)
| Priority | Action | Logging | Protocol | Source IP Address | Source Wildcard Mask | Destination IP Address | Destination Wildcard Mask | Source Port | Destination Port |
|---|---|---|---|---|---|---|---|---|---|
| 10 | Permit | Disabled | TCP | Any | Any | 192.168.1.10 | 0.0.0.0 | 8001 | 8001 |
| 12 | Permit | Disabled | TCP | 192.168.2.1 | 0.0.0.0 | 192.168.1.10 | 0.0.0.0 | 8001 | 8001 |
| 20 | Deny | Disabled | Any (IP) | Any | Any | Any | Any |
ACL VLAN 2 (Permit Any)
| Priority | Action | Logging | Protocol | Source IP Address | Source Wildcard Mask | Destination IP Address | Destination Wildcard Mask | Source Port | Destination Port |
|---|---|---|---|---|---|---|---|---|---|
| 10 | Permit | Disabled | TCP | Any | Any | 192.168.2.1 | 0.0.0.0 | 443 | 443 |
| 12 | Permit | Disabled | TCP | 192.168.2.1 | 0.0.0.0 | 192.168.1.10 | 0.0.0.0 | 8001 | 8001 |
| 20 | Deny | Disabled | Any (IP) | Any | Any | Any | Any |
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 666607
Url: https://administrator.de/contentid/666607
Printed on: April 20, 2024 at 13:04 o'clock
10 Comments
Latest comment
Hi,
ich denke dein Source Port muss auf "any" stehen. Kontrolliere hierzu mal den Verbindungsaufbau in den Logs der pfSense. Wenn diese mit einem anderen Source Port kommt (was höchstwahrscheinlich ist, da du ansonsten nur 1 Verbindung aufbauen könntest) funzen deine Regeln so nicht.
Gruß
ich denke dein Source Port muss auf "any" stehen. Kontrolliere hierzu mal den Verbindungsaufbau in den Logs der pfSense. Wenn diese mit einem anderen Source Port kommt (was höchstwahrscheinlich ist, da du ansonsten nur 1 Verbindung aufbauen könntest) funzen deine Regeln so nicht.
Gruß
Verbindungen vom Client werden immer mit einem Soure-Port oberhalb der "well known ports" verwendet und welcher das genau ist regelt der Client selbst. Du musst den Source Port auf any umstellen, sonst wird das nichts.
Bin zwar absoluter Laie bei ACL's, aber auf eine Firewall-Logik übertragen wäre doch in der ACL VLAN 1 die Zeile 2 sinnlos, da doch schon die Zeile 1 die Bedingung von Zeile 2 erfüllt. Oder irre ich da?
Ich schließe mich an. Ich würde auch die Source Ports umstellen und in VLAN1 Regel 2 rausnehmen. Oder Regel 1, wenn definitiv nur Traffic vom Proxy-Manager zur Nextcloud durch soll. Dann kommt aber wohl auch vom internen Netz nichts mehr zur Nextcloud durch.
Bin jetzt einen wesentlichen Schritt weiter. Danke für die zahlreichen Tipps.
Habe vollgendes Ergebnis und bin damit zufrieden:
ACL VLAN 1 (Permit Any)
Ein wesentlicher Fehler war, dass ich bei der Source Wildcard Mask die Negotiation-Mask auf 0.0.0.255 hatte und mich gewundert habe warum ich mit einer anderen IP als 192.168.2.1 trotzdem an die Nextcloud kam.
Bei der Deny-Regel noch eine Frage:
Macht es Sinn alles, außer den Transfer zwischen nginx Proxy Manager (Port: 443/80) und Nextcloud (Port: 8001) zu verbieten?
In der obigen Regel habe ich jetzt nur meine internes Netz Deny"ied"
ist die Deny-Regel:
zu viel des "Guten"?
Habe vollgendes Ergebnis und bin damit zufrieden:
ACL VLAN 1 (Permit Any)
| Priority | Action | Logging | Protocol | Source IP Address | Source Wildcard Mask | Destination IP Address | Destination Wildcard Mask | Source Port | Destination Port |
|---|---|---|---|---|---|---|---|---|---|
| 10 | Permit | Disabled | TCP | Any | Any | 192.168.1.10 | 0.0.0.0 | 8001 | 8001 |
| 12 | Permit | Disabled | TCP | 192.168.2.1 | 0.0.0.0 | 192.168.1.10 | 0.0.0.0 | 8001 | 8001 |
| 20 | Deny | Disabled | Any (IP) | Any | Any | 192.168.0.0 | 0.0.255.255 |
Ein wesentlicher Fehler war, dass ich bei der Source Wildcard Mask die Negotiation-Mask auf 0.0.0.255 hatte und mich gewundert habe warum ich mit einer anderen IP als 192.168.2.1 trotzdem an die Nextcloud kam.
Bei der Deny-Regel noch eine Frage:
Macht es Sinn alles, außer den Transfer zwischen nginx Proxy Manager (Port: 443/80) und Nextcloud (Port: 8001) zu verbieten?
In der obigen Regel habe ich jetzt nur meine internes Netz Deny"ied"
ist die Deny-Regel:
| 20 | Deny | Disabled | Any (IP) | Any | Any | Any | Any |
zu viel des "Guten"?
Ein wesentlicher Fehler war, dass ich bei der Source Wildcard Mask die Negotiation-Mask auf 0.0.0.255 hatte
Das hast Du oben nicht abgebildet und die oben abgebildete Regel erscheint mir sinnvoller, weil absolut.
Es gilt immer ein implizites Default "Deny any any" am Schluss jeder ACL ! Es ist also doppelt gemoppelt und bringt nichts das nochmals zu konfigurieren.
https://www.cisco.com/c/de_de/support/docs/smb/switches/cisco-350-series ...
https://www.cisco.com/c/de_de/support/docs/smb/switches/cisco-350-series ...
Du hast mich glaube ich auf ein weiteres Verständnis gebracht.
Beim ACL-Binding habe ich immer permit any eingestellt.
Sinnvoller wäre ja dann „deny any“ um die Regeln in deiner beschriebenen Logik zu erhalten.
Hatte diese ACL-Binding gar nicht auf dem Schirm
Beim ACL-Binding habe ich immer permit any eingestellt.
Sinnvoller wäre ja dann „deny any“ um die Regeln in deiner beschriebenen Logik zu erhalten.
Hatte diese ACL-Binding gar nicht auf dem Schirm
Hi,
bei den meisten ACL ist das richtig. Ein Fehler ist dies jedoch nicht, da Mikrotik z.B. dies nicht hat. Die lassen den Datenverkehr durch. Daher ist es schon sinnvoll eine solche Regel zu setzen.
Gruß
bei den meisten ACL ist das richtig. Ein Fehler ist dies jedoch nicht, da Mikrotik z.B. dies nicht hat. Die lassen den Datenverkehr durch. Daher ist es schon sinnvoll eine solche Regel zu setzen.
Gruß
