Vraag over cisco acl

Pagina: 1
Acties:

  • josvane
  • Registratie: Oktober 2002
  • Laatst online: 18:08
Ik heb hier voor mijn neus een cisco 877 liggen en ben aan het testen met acl's ik wil graag icmp op de wan interface blokken.

Daarvoor heb ik het volgende gedaan.

Access-list 101 deny icmp any any
Access-list 101 permit ip Any any

Vervolgens doe ik op de dialer

Ip access-group 101 in

So far so good, ik kan nog gewoon alles doen en icmp op de wan zijde wordt geblokkeerd. Alleen kwam ik er achter dat nagios mijn klanten ook niet meer kan pingen en dat dus icmp vanuit mijn netwerk naar buiten ook niet meer werkt. Iemand een ide hoe ik dit kan oplossen.

  • brederodekater
  • Registratie: Maart 2006
  • Laatst online: 10-06-2025
Maak er eens van:

access-list 101 deny icmp any any echo
access-list 101 permit ip any any

Dit blokkeert echo requests, maar laat echo-replies door.

  • plizz
  • Registratie: Juni 2009
  • Laatst online: 21:56
Je ACL moet zo eruit ziet:


access-list 101 permit icmp any any echo-reply <-- om echo-reply toe te laten
access-list 101 deny icmp any any <-- de rest van icmp blokkeren
access-list 101 permit ip any any

  • brederodekater
  • Registratie: Maart 2006
  • Laatst online: 10-06-2025
plizz schreef op donderdag 05 januari 2012 @ 21:20:
Je ACL moet zo eruit ziet:


access-list 101 permit icmp any any echo-reply <-- om echo-reply toe te laten
access-list 101 deny icmp any any <-- de rest van icmp blokkeren
access-list 101 permit ip any any
Dan kan hij ook geen traceroutes meer doen (ttl-exceeded) - Lijkt me niet echt handig in zijn functie.

Maar goed, het moet dus waarschijnlijk wat specifieker, maar hij kan nu wel de nodige opties zelf uitvogelen denk ik :)

  • RedShift
  • Registratie: Augustus 2003
  • Laatst online: 15-02 18:33
Alles van ICMP blokkeren is geen slim idee, zoals je het nu opzet zal bijvoorbeeld path MTU discovery niet meer werken. In plaats van ICMP te blokkeren zet je beter gewoon een ratelimit op ICMP.

  • josvane
  • Registratie: Oktober 2002
  • Laatst online: 18:08
Een ieder bedankt to zover, ik heb weer huiswerk.

  • brederodekater
  • Registratie: Maart 2006
  • Laatst online: 10-06-2025
RedShift schreef op donderdag 05 januari 2012 @ 21:25:
Alles van ICMP blokkeren is geen slim idee, zoals je het nu opzet zal bijvoorbeeld path MTU discovery niet meer werken. In plaats van ICMP te blokkeren zet je beter gewoon een ratelimit op ICMP.
Nah jah, alles blokkeren hoeft ook niet & is inderdaad ook niet verstandig. Maar met een paar regels kun je in ieder geval zorgen dat echo's gedropped worden.

  • plizz
  • Registratie: Juni 2009
  • Laatst online: 21:56
Of je kan Cisco CBAC toepassen. Misschien wat handiger? Maar weet of het past in TS situatie.

  • brederodekater
  • Registratie: Maart 2006
  • Laatst online: 10-06-2025
plizz schreef op donderdag 05 januari 2012 @ 21:32:
Of je kan Cisco CBAC toepassen. Misschien wat handiger? Maar weet of het past in TS situatie.
Da's misschien nog handiger wanneer de topic-starter bij een klant zit, dan kan hij in ieder geval de thuis basis benaderen met ICMP-echo's om te testen.

Of is dit nou juist wat vermeden dient te worden? :)

Verwijderd

Kan je niet gewoon jouw host(s) die wel of niet genat wordt, toevoegen als uitzondering voor ICMP?
Pagina: 1