HP procurve access list

Ik ben hier al een tijdje mee zoet, maar kom er niet uit.

we hebben hier een aantal vlan's waarbij vlan1 "bescherm" is tegen vlan 2
in principe mag er dus niemand van vlan 2 naar 1. nu is het zo dat er in vlan1 een webserver staat die ook benaderbaar moet zijn vanuit vlan 2. er moet dus een regel in die toegang toestaat de websever is 172.16.200.63.
iemand die mij even op weg kan helpen?


ip access-list extended "101"
10 permit ip 0.0.0.0 255.255.255.255 172.26.200.5 0.0.0.0
20 permit ip 0.0.0.0 255.255.255.255 172.26.200.20 0.0.0.0
21 permit tcp 0.0.0.0 255.255.255.255 172.16.200.63 0.0.0.0 eq 443
22 permit tcp 0.0.0.0 255.255.255.255 172.16.200.63 0.0.0.0 eq 80
23 permit ip 0.0.0.0 255.255.255.255 172.16.200.63 0.0.0.0
30 deny ip 0.0.0.0 255.255.255.255 172.26.0.0 0.0.255.255
40 deny ip 0.0.0.0 255.255.255.255 172.27.0.0 0.0.255.255
50 permit ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255
60 permit icmp 0.0.0.0 255.255.255.255 172.26.200.5 0.0.0.0
70 permit icmp 0.0.0.0 255.255.255.255 172.26.200.20 0.0.0.0
80 deny icmp 0.0.0.0 255.255.255.255 172.26.0.0 0.0.255.255
90 deny icmp 0.0.0.0 255.255.255.255 172.27.0.0 0.0.255.255
100 permit icmp 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255
exit
ip access-list extended "102"
10 permit ip 172.26.200.5 0.0.0.0 0.0.0.0 255.255.255.255
11 permit tcp 172.16.200.63 0.0.0.0 0.0.0.0 255.255.255.255 eq 443
20 permit ip 172.26.200.20 0.0.0.0 0.0.0.0 255.255.255.255
21 permit tcp 0.0.0.0 255.255.255.255 172.16.200.63 0.0.0.0 eq 443
22 permit tcp 0.0.0.0 255.255.255.255 172.16.200.63 0.0.0.0 eq 80
30 deny ip 0.0.0.0 255.255.255.255 172.16.0.0 0.0.255.255
40 deny ip 0.0.0.0 255.255.255.255 172.17.0.0 0.0.255.255
50 deny ip 0.0.0.0 255.255.255.255 172.27.0.0 0.0.255.255
60 permit ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255
70 permit icmp 172.26.200.5 0.0.0.0 0.0.0.0 255.255.255.255
80 permit icmp 172.26.200.20 0.0.0.0 0.0.0.0 255.255.255.255
90 deny icmp 0.0.0.0 255.255.255.255 172.16.0.0 0.0.255.255
100 deny icmp 0.0.0.0 255.255.255.255 172.17.0.0 0.0.255.255
110 deny icmp 0.0.0.0 255.255.255.255 172.27.0.0 0.0.255.255
120 permit icmp 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255
exit

vlan 1
name "vlan1"
untagged 9-12,20,22-24
ip helper-address 172.20.200.7
ip helper-address 172.20.200.9
ip address 172.16.175.1 255.255.0.0
tagged 5-8,Trk2
no untagged 13-15,17,19,21,Trk1
ip igmp
ip access-group "101" in
exit
vlan 2
name "vlan2"
untagged 13-14
ip helper-address 172.20.200.7
ip helper-address 172.20.200.9
ip address 172.26.175.1 255.255.0.0
tagged 5-8,23-24,Trk2
ip igmp
ip access-group "102" in
exit

Kabouterplop01 schreef op donderdag 07 mei 2009 @ 12:36:
Ik denk dat je permit statement na de deny "vlan2 ip reeks" moet komen.

je bedoelt na deze?
30 deny ip 0.0.0.0 255.255.255.255 172.26.0.0 0.0.255.255

loopt hij niet de lijst af? de volgorde van de access list is toch eerst 10 dan 20 dan 21 etc.?
als ik die permit na de deny zet dan leest hij die toch niet meer?

vlan 101 is trouwens 172.16.0.0
vlan 102 is 172.26.0.0

Kabouterplop01 schreef op donderdag 07 mei 2009 @ 22:21:
Ik denk niet dat ie ze niet meer leest; anders zouden de regels na je deny statements niet meer nodig zijn.
Het vreemde aan deze situatie is dat je die ACL al hebt!
21 permit tcp 0.0.0.0 255.255.255.255 172.16.200.63 0.0.0.0 eq 443
22 permit tcp 0.0.0.0 255.255.255.255 172.16.200.63 0.0.0.0 eq 80
zorgen ervoor dat alles naar de webserver een sessie op mag zetten naar de ssl en de http port.

wat ik denk dat niet klopt is:

ip access-list extended "102"

11 permit tcp 172.16.200.63 0.0.0.0 0.0.0.0 255.255.255.255 eq 443
21 permit tcp 0.0.0.0 255.255.255.255 172.16.200.63 0.0.0.0 eq 443
22 permit tcp 0.0.0.0 255.255.255.255 172.16.200.63 0.0.0.0 eq 80

dat dat meer moet worden:
xx permit tcp any established (weet niet of dat bestaat)
of strakker:
xx permit tcp 172.16.200.63 range gt 1025 0.0.0.0 255.255.255.255

oftewel laat een sessie toe vanaf 172.16.200.63 voor een willekeurige port boven 1024 naar iedereen.

Ik weet niet of een HP die acceslists commando's die ik geef snapt. Ik snap de logica van de originele acl's; ik hoop dat je snapt wat ik bedoel!

Overigens: (eigenljik offtopic) werkt jouw ACL wel voor je DHCP?
regel 50 van vlan1 en regel 60 van vlan 2 laten alles door

wat betreft je laatste opmerking, we hebben voor elk vlan een aparte scope, en ik meen dat de dhcp server een trunk heeft naar alle vlans's

11 permit tcp 172.16.200.63 0.0.0.0 0.0.0.0 255.255.255.255 eq 443
21 permit tcp 0.0.0.0 255.255.255.255 172.16.200.63 0.0.0.0 eq 443
22 permit tcp 0.0.0.0 255.255.255.255 172.16.200.63 0.0.0.0 eq 80

deze regels had ik er zelf ingezet, maar dat werkt dus niet.

voorzover ik het begrijp gaat het om inbound access lists en hoef ik dus alleen op vlan 1 de regel toe te voegen die toestaat dat er verkeer van alles naar de 172.16.200.63 mag komen? ik snap ook niet dat ik in vlan 2 uberhaubt nog iets moet doen.

verder is het toch zo dat je eerst de "source + subnet" opgeeft en dan pas destination + subnet?
het lijkt wel alsof het omgekeerd werkt ofzo

wat betreft de regels die er in staan, er staat volgens mij veel troep in deze config, dat het er zo staat betekend niet noodzakelijk dat het ook werkt.