Toon posts:

Inter vlan communicatie eenzijdig blokkeren

Pagina: 1
Acties:

maandag 19 december 2005 09:35

Acties:

Verwijderd

Topicstarter
Ik heb een 3com 5500 SI Layer 4 switch en zit met het volgende probleem :

Ik heb meerdere VLAN's met bijbehorende subnetten aangemaakt. Nu wil ik het verkeer eenzijdig blokkeren van vlan 1 naar vlan 2. Vlan 2 moet wel bij vlan 1 kunnen.

Wanneer ik een ACL aanmaak is het ook niet meer mogelijk om vanaf vlan 2 naar een te gaan omdat de "terugkomende" data geblokkeerd word.

Heeft hier misschien iemand een helder idee hierover?

alvast bedankt ,

Wietse

maandag 19 december 2005 11:21

Acties:
  • reddog33hummer
  • Registratie: Oktober 2001
  • Laatst online: 25-04 19:21

reddog33hummer

Dat schept mogelijkheden

Verwijderd schreef op maandag 19 december 2005 @ 09:35:
Ik heb meerdere VLAN's met bijbehorende subnetten aangemaakt. Nu wil ik het verkeer eenzijdig blokkeren van vlan 1 naar vlan 2. Vlan 2 moet wel bij vlan 1 kunnen.

Wanneer ik een ACL aanmaak is het ook niet meer mogelijk om vanaf vlan 2 naar een te gaan omdat de "terugkomende" data geblokkeerd word.
Houd er rekening mee dat vlannen op het level van ethernet zijn en niet op level van ip. Klinkt als dat je trusts van vlannen als firewall probeert te gebruiken.

Backup not found (R)etry (A)bort (P)anic<br\>AMD 3400+ 64, 2 GB DDR, 1,5 TB Raid5

maandag 19 december 2005 11:25

Acties:
  • bakkerl
  • Registratie: Augustus 2001
  • Laatst online: 18-04 21:45

bakkerl

Let there be light.

Een router tussen VLAN1 en VLAN2 neerzetten welke ook als firewall kan spelen.
Een firewall welke onderscheid kan maken tussen initeel verkeer en vervolg verkeer.
als voorbeeld iptables onder linux

Ik weet niet of "3com 5500 SI Layer 4 switch" deze functionaliteit heeft.

[ Voor 17% gewijzigd door bakkerl op 19-12-2005 11:27 ]

maandag 19 december 2005 11:43

Acties:

Verwijderd

Als het alleen TCP hoeft te zijn kan je simpelweg de SYN's van 1 naar 2. Als je ook UDP wilt kunnen toelaten, zul je een stateful inspection fw moeten hebben, ik weet niet of de 3Com 5500 dat is.

maandag 19 december 2005 12:59

Acties:

Verwijderd

Topicstarter
Een router ertussen zetten is geen oplossing voor mij , heb juist deze switch aangeschaft omdat de vorige niet kon routeren tussen de vlan's. Volgens 3com kon deze switch alles wat ik wilde.

Ook moet er UDP verkeer overheen en heeft deze switch geen Statefull inspection firewall...


Ik zal nog een keer iets duidelijker uitleggen wat de bedoeling is :

Vlan 1 10.0.1.0 Netwerk 1
Vlan 2 10.0.2.0 Netwerk 2
Vlan 3 10.0.3.0 Internet

Nu mag vlan 1 naar vlan 2 en vlan 3
Vlan 2 mag alleen naar vlan 3

zijn er verder nog mogelijkheden om dit doel te bereiken?

maandag 19 december 2005 15:54

Acties:

Verwijderd

Dat is dus het verschil tussen een lan switch en een router. De functie die je zoekt heet reflexive access-list en heb ik eigenlijk alleen nog maar in duurdere modulaire switches of routers gezien.

Eigenlijk zoek je dus gewoon firewall features in een switch.

maandag 19 december 2005 17:47

Acties:
  • Taigu
  • Registratie: Februari 2002
  • Laatst online: 25-04 08:52

Taigu

Quote van 3com site:
Advanced, time-based Access Control Lists (ACLs) help safeguard key network resources from unauthorized access and data corruption (EI models only).
Klinkt als de optie die jij zoekt, de vraag is dus heb jij een SI of een EI ?

Daarnaast, wat ben je in de manual al tegengekomen hierover ? Heb je google hits ? Wat zegt de 3com helpdesk ?

[ Voor 18% gewijzigd door Taigu op 19-12-2005 17:48 ]

Cling to truth and it turns into falsehood. Understand falsehood and it turns into truth.

maandag 19 december 2005 20:41

Acties:

Verwijderd

Volgens mij zou dit moeten kunnen via ACL.

Uit de manual
rule [ rule_id ] { permit | deny } protocol [ source { source_addr wildcard | any } ] [ destination { dest_addr wildcard | any } ] [ source-port operator port1 [ port2 ] ] [ destination-port operator port1 [ port2 ] ] [ icmp-type type code ] [ established ] [ [ { precedence precedence tos tos | dscp dscp }* | vpn-instance instance ] | fragment | logging | time-range name ]*
Hiermee zou je "eenvoudig" filters moeten kunnen definieren die het verkeer tussen de verschillende vlans regelen. Het lijkt mij dat jij de terugkerende pakketten blokkeert

Dus zoiets als dit zou moeten werken (untested)
code:
1
2

rule 1 permit TCP source YOUR_VLAN_2 destination YOUR_VLAN_1 destination-port eq 80 HTTP-OUT
rule 2 permit TCP source YOUR_VLAN_1 destination YOUR_VLAN_2 established

[ Voor 64% gewijzigd door Verwijderd op 19-12-2005 21:52 ]

maandag 19 december 2005 21:01

Acties:
  • JackBol
  • Registratie: Maart 2000
  • Niet online

JackBol

Security is not an option!

Je moet een 'permit TCP established' rule toevoegen aan je accesslist. Daardoor kan verkeer met gesette ACK of RST flag in de TCP header terug door de ACL.

Anders inderdaad een reflexive accesslist, zoals Jeroen zegt. Maar dat gaat waarschijnlijk niet lukken op je switch.

[ Voor 54% gewijzigd door JackBol op 19-12-2005 21:05 ]

Opbrengst van mijn Tibber Homevolt met externe kWh meter. | Opbrengst van mijn Tibber Homevolt volgens de Tibber Data API.

dinsdag 20 december 2005 08:16

Acties:

Verwijderd

Topicstarter
Thanx ... hier was ik naar op zoek!
Ik heb de switch thuisliggen dus ga het vanavond direct uit proberen.

Ik laat nog van me horen !
Pagina: 1
Reageer