[cisco][acl][nt4] domein problemen - Serversoftware en clouddiensten

woensdag 19 november 2003 12:46

Acties:

Huh?

Topicstarter

Hoi ik ben op me werk bezig met de beveiliging van het netwerk
der zijn 2 netwerken A en B

A mag gefilterd naar netwerk B

nu heb ik het probleem dat sommige clients het domein niet kunnen
zien. 200 zien het domein zonder problemen. 50 hebben er problemen
mee

met behulp van http://support.microsoft....aspx?scid=kb;en-us;179442

heb ik de volgende ACL opgebouwd

access-list 122 permit icmp any 172.16.24.0 0.0.7.255
access-list 122 permit icmp any 172.16.16.0 0.0.7.255
access-list 122 permit tcp any 172.16.16.0 0.0.7.255
access-list 122 permit udp any any
access-list 122 deny udp any any eq 1433
access-list 122 deny udp any any eq 1434
access-list 122 deny tcp any any eq 8080
access-list 122 deny tcp any any eq www
access-list 122 deny tcp any any eq ftp
access-list 122 deny tcp any any eq telnet
access-list 122 deny tcp any any eq 5190
access-list 122 deny tcp any any eq 8396
access-list 122 deny tcp any any eq 58296
access-list 122 deny tcp any any eq pop3
access-list 122 deny tcp any any eq smtp
access-list 122 deny tcp any any eq 443
access-list 122 deny tcp any any eq nntp
access-list 122 deny tcp any any eq 522
access-list 122 deny tcp any any eq 389
access-list 122 deny tcp any any eq 1503
access-list 122 deny tcp any any eq 1720
access-list 122 deny tcp any any eq 1731
access-list 122 deny tcp any any eq 1214
access-list 122 deny tcp any any eq 5500
access-list 122 deny tcp any any eq 5800
access-list 122 deny tcp any any eq 5900
access-list 122 deny tcp any any eq 3389
access-list 122 deny udp any any eq 3389
access-list 122 deny udp any any eq 21
access-list 122 deny udp any any eq 23
access-list 122 permit tcp any 172.16.24.0 0.0.7.255
access-list 122 deny tcp any any eq 22
access-list 122 deny ip any host 172.16.23.254

ziet iemand het probleem in dit gebeuren ?

Het is makkelijk om iemand zijn negatieve eigenschappen te benoemen, maar kan je ook de positieve eigenschappen benoemen?

woensdag 19 november 2003 12:51

Acties:

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

In de 4e regel staat dat al het UDP verkeer door mag gaan. Alle overige entry's over UDP verkeer zijn niet meer relevant. UDP verkeer is er namelijk "al door", de entry in de ACL wordt nl gematched en de ACL wordt verlaten.

Hoe wordt deze ACL toegepast. Inbound, Outbound op welke interfaces?

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

woensdag 19 november 2003 14:00

Acties:

Verwijderd

wat bedoel je met domain niet kunnen zien? kunnen dc niet vinden? in principe moet je bij een wins-server en port 137-139 kunnen voor een goedwerkend nt4 domain.

woensdag 19 november 2003 14:31

Acties:

Die Bruine

Ehm... UDP broadcasts worden niet zomaar doorgestuurd. NT is iets te lang geleden voor mij, maar als het op basis van broadcast gebeurt zul je toch echt eerst de juiste poort moeten forwarden.
Bovendien meen ik mij te herinneren dat je voor gescheide netwerken een proxy-forwarder nodig hebt om bij een domein te kunnen. Sterker nog, nu weet ik het zeker->NT4. Maar goed, het is best mogelijk dat het inmiddels te ondervangen is met ip-helper address en dan forward udp xxxx.

[ Voor 21% gewijzigd door Die Bruine op 19-11-2003 14:33 ]

...heeft geleerd vandaag al te doen wat morgen pas hoeft te gebeuren

woensdag 19 november 2003 15:23

Acties:

Duinkonijn

Huh?

Topicstarter

Question Mark schreef op 19 november 2003 @ 12:51:
In de 4e regel staat dat al het UDP verkeer door mag gaan. Alle overige entry's over UDP verkeer zijn niet meer relevant. UDP verkeer is er namelijk "al door", de entry in de ACL wordt nl gematched en de ACL wordt verlaten.

Hoe wordt deze ACL toegepast. Inbound, Outbound op welke interfaces?

eh op de client vlan wordt hij toegepast.
outbound

Verwijderd schreef op 19 november 2003 @ 14:00:
wat bedoel je met domain niet kunnen zien? kunnen dc niet vinden? in principe moet je bij een wins-server en port 137-139 kunnen voor een goedwerkend nt4 domain.

de pc in kwestie kan geen domain controller vinden

Biposto schreef op 19 november 2003 @ 14:31:
Ehm... UDP broadcasts worden niet zomaar doorgestuurd. NT is iets te lang geleden voor mij, maar als het op basis van broadcast gebeurt zul je toch echt eerst de juiste poort moeten forwarden.
Bovendien meen ik mij te herinneren dat je voor gescheide netwerken een proxy-forwarder nodig hebt om bij een domein te kunnen. Sterker nog, nu weet ik het zeker->NT4. Maar goed, het is best mogelijk dat het inmiddels te ondervangen is met ip-helper address en dan forward udp xxxx.

klopt

udp wordt geforward naar de pdc en de 2 bdc`s d.m.v. ip helper adress

het gaat btw om een cisco 3750 met een clusterbroertje

Het is makkelijk om iemand zijn negatieve eigenschappen te benoemen, maar kan je ook de positieve eigenschappen benoemen?

woensdag 19 november 2003 15:39

Acties:

Die Bruine

Het commando Ip-helper address alleen is niet voldoende. Dat werkt alleen met DHCP, je moet ook nog eens specifiek de benodigde poort forwarden!

...heeft geleerd vandaag al te doen wat morgen pas hoeft te gebeuren

woensdag 19 november 2003 15:52

Acties:

Duinkonijn

Huh?

Topicstarter

Biposto schreef op 19 november 2003 @ 15:39:
Het commando Ip-helper address alleen is niet voldoende. Dat werkt alleen met DHCP, je moet ook nog eens specifiek de benodigde poort forwarden!

heb je toevallig daar de commando's voor?

ok bedankt. heb het doorgevoerd.

ben benieuwd morgen

[ Voor 13% gewijzigd door Duinkonijn op 19-11-2003 16:31 ]

Het is makkelijk om iemand zijn negatieve eigenschappen te benoemen, maar kan je ook de positieve eigenschappen benoemen?

donderdag 20 november 2003 10:39

Acties:

Duinkonijn

Huh?

Topicstarter

ok dat was vanochtend paniek... alles down...

AAAAAARGG

try again

denk dat dat forward udp conflicteerd met het netwerk waar ze geen toegang tot mogen

Het is makkelijk om iemand zijn negatieve eigenschappen te benoemen, maar kan je ook de positieve eigenschappen benoemen?

donderdag 20 november 2003 15:33

Acties:

Die Bruine

Hahahaa ik wist niet eens dat het als algemeen commando ingevoerd kon worden. Zoek naar de benodigde poort op microsoft.... En dan alleen die forwarden!

...heeft geleerd vandaag al te doen wat morgen pas hoeft te gebeuren

donderdag 20 november 2003 15:38

Acties:

mughato

kun je misschien wat meer info geven over de config (netwerken, interfaces, overige ACL's)?

donderdag 20 november 2003 16:02

Acties:

Duinkonijn

Huh?

Topicstarter

mughato schreef op 20 november 2003 @ 15:38:
kun je misschien wat meer info geven over de config (netwerken, interfaces, overige ACL's)?

ok zal ze ff samenstellen

Het is makkelijk om iemand zijn negatieve eigenschappen te benoemen, maar kan je ook de positieve eigenschappen benoemen?

donderdag 20 november 2003 16:02

Acties:

Verwijderd

als een pc geen domaincontroller kan vinden, zou ik eerst naar je wins config kijken. uit de wins wordt namelijk de dc gehaald. de 2de stap is pas connecten naar de server.

overigens de regels vind ik nogal vaag. je staat eigenlijk alles toe behalve een paar protocols die mij nu juist handig lijken.
je kan naar mijn idee beter bovenaan alle regeltjes zetten wat mag en als laatste regels de deny any any voor udp en tcp. dat maakt je regels ook een stuk overzichtelijker.

donderdag 20 november 2003 16:10

Acties:

Duinkonijn

Huh?

Topicstarter

Duinkonijn schreef op 20 november 2003 @ 16:02:
[...]

ok zal ze ff samenstellen

Current configuration : 19205 bytes
!
version 12.1
no service pad
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
service sequence-numbers
!
hostname SWH-MGROND-01
!
enable secret 5
enable password
!
clock timezone GMT 1
!
vlan access-map ToegestaandverkeervanuitEduClients 1
action forward
match ip address 122
vlan access-map ToegestaandverkeervanuitAdminClient 2
action forward
vlan access-map ToegestaandverkeervanuitEduServers 3
action forward
match ip address 123
vlan access-map ToegestaandverkeervanuitAdminServers 4
action forward
vlan access-map ToegestaandverkeervanuitAdminoud 5
action forward
vlan filter ToegestaandverkeervanuitEduClients vlan-list 5
ip subnet-zero
ip routing
no ip domain-lookup
!
ip dhcp pool VLAN6-POOL
network 172.16.248.0 255.255.248.0
default-router 172.16.255.254
!
ip dhcp pool VLAN2
network 172.16.0.0 255.255.248.0
default-router 172.16.7.254
netbios-name-server 172.16.16.2
dns-server 172.16.16.1
!
ip dhcp pool VLAN5
network 172.16.24.0 255.255.248.0
default-router 172.16.31.254
netbios-name-server 172.16.16.2
dns-server 172.16.16.1
lease 3
!
cluster enable mgrond 0
cluster member 1 mac-address 00d0.bafa.1c40
cluster member 2 mac-address 00d0.589c.4280
cluster member 3 mac-address 000a.b714.26c0
cluster member 4 mac-address 00d0.589b.a400
cluster member 5 mac-address 00d0.588a.d2c0
cluster member 6 mac-address 00d0.588a.a080
cluster member 7 mac-address 00d0.588a.c900
cluster member 8 mac-address 00d0.5862.6700
cluster member 9 mac-address 0009.e8b6.ec40
cluster member 10 mac-address 00d0.588a.cec0
cluster member 11 mac-address 00d0.5899.1300
cluster member 12 mac-address 00d0.589c.4cc0
cluster member 13 mac-address 000c.30ea.6600
cluster member 14 mac-address 00d0.588a.b980
!
cluster discovery hop-count 6
spanning-tree mode pvst
spanning-tree extend system-id
!
!
interface Port-channel1
switchport trunk encapsulation dot1q
switchport mode trunk
switchport nonegotiate
no ip address
!
interface Port-channel2
switchport trunk encapsulation dot1q
switchport mode trunk
switchport nonegotiate
no ip address
!
interface Port-channel6
switchport trunk encapsulation dot1q
switchport mode trunk
switchport nonegotiate
no ip address
!
interface GigabitEthernet1/0/1
switchport access vlan 6
no ip address
!
interface GigabitEthernet1/0/2
switchport access vlan 7
no ip address
spanning-tree portfast trunk
!
interface GigabitEthernet1/0/3
switchport access vlan 2
switchport mode access
switchport port-security
no ip address
spanning-tree portfast trunk
!
interface GigabitEthernet1/0/4
no ip address
!
interface GigabitEthernet1/0/5
description Karina
switchport access vlan 5
switchport mode access
no ip address
!
interface GigabitEthernet1/0/6
no ip address
!
interface GigabitEthernet1/0/7
switchport access vlan 2
no ip address
!
interface GigabitEthernet1/0/8
no ip address
!
interface GigabitEthernet1/0/9
no ip address
!
interface GigabitEthernet1/0/10
no ip address
!
interface GigabitEthernet1/0/11
switchport access vlan 8
switchport mode access
no ip address
!
interface GigabitEthernet1/0/12
no ip address
!
interface GigabitEthernet1/0/13
switchport access vlan 2
switchport mode access
no ip address
!
interface GigabitEthernet1/0/14
no ip address
!
interface GigabitEthernet1/0/15
no ip address
!
interface GigabitEthernet1/0/16
no ip address
!
interface GigabitEthernet1/0/17
no ip address
!
interface GigabitEthernet1/0/18
switchport access vlan 7
switchport mode access
no ip address
spanning-tree portfast trunk
!
!
interface GigabitEthernet1/0/19
switchport trunk encapsulation dot1q
switchport mode trunk
switchport nonegotiate
no ip address
duplex full
speed 100
!
interface GigabitEthernet1/0/20
switchport trunk encapsulation dot1q
switchport mode trunk
switchport nonegotiate
no ip address
duplex full
speed 100
!
interface GigabitEthernet1/0/21
switchport trunk encapsulation dot1q
switchport mode trunk
no ip address
duplex full
speed 100
!
interface GigabitEthernet1/0/22
switchport trunk encapsulation dot1q
switchport mode trunk
switchport nonegotiate
no ip address
duplex full
speed 100
channel-group 2 mode on
!
interface GigabitEthernet1/0/23
switchport trunk encapsulation dot1q
switchport mode trunk
switchport nonegotiate
no ip address
duplex full
speed 100
channel-group 2 mode on
!
interface GigabitEthernet1/0/24
switchport trunk encapsulation dot1q
switchport mode trunk
switchport nonegotiate
no ip address
duplex full
speed 100
channel-group 2 mode on
!
interface GigabitEthernet1/0/25
switchport trunk encapsulation dot1q
switchport mode trunk
switchport nonegotiate
no ip address
channel-group 6 mode on
!
interface GigabitEthernet1/0/26
no ip address
!
interface GigabitEthernet1/0/27
no ip address
!
interface GigabitEthernet1/0/28
no ip address
!
interface GigabitEthernet2/0/1
description SRVFILE02
switchport access vlan 3
switchport mode access
switchport port-security
no ip address
duplex full
speed 100
spanning-tree portfast trunk
!
interface GigabitEthernet2/0/2
description UNIX
switchport access vlan 7
switchport mode access
switchport port-security

!
interface GigabitEthernet2/0/3
description Dood
switchport access vlan 3
switchport mode access
no ip address
spanning-tree portfast trunk
!
interface GigabitEthernet2/0/4
description SRVMAIL01
switchport access vlan 4
switchport mode access
switchport port-security
no ip address
duplex full
speed 100
spanning-tree portfast trunk
!
interface GigabitEthernet2/0/5
description SRVAPP01
switchport access vlan 4
switchport mode access
switchport port-security
no ip address
duplex full
speed 100
spanning-tree portfast trunk
!
interface GigabitEthernet2/0/6
description SRVFILE01
switchport access vlan 4
switchport mode access
switchport port-security
no ip address
duplex full
speed 100
spanning-tree portfast trunk
!
interface GigabitEthernet2/0/7
description SRVTERM01
switchport access vlan 4
switchport mode access
switchport port-security
no ip address
duplex full
speed 100
spanning-tree portfast trunk
!
interface GigabitEthernet2/0/8
description SRVPRX
switchport access vlan 4
switchport mode access
switchport port-security
no ip address
duplex full
speed 100
spanning-tree portfast trunk
!
interface GigabitEthernet2/0/9
description SRVRAS01
switchport access vlan 3
switchport mode access
no ip address
duplex full
speed 100
spanning-tree portfast trunk
!
interface GigabitEthernet2/0/10
no ip address
!
interface GigabitEthernet2/0/11
no ip address
!
interface GigabitEthernet2/0/12
no ip address
!
interface GigabitEthernet2/0/13
no ip address
!
interface GigabitEthernet2/0/14
no ip address
!
interface GigabitEthernet2/0/15
no ip address
!
interface GigabitEthernet2/0/16
no ip address
!
interface GigabitEthernet2/0/17
no ip address
!
interface GigabitEthernet2/0/18
description Cisco 828 naar SchoolVision
switchport access vlan 7
switchport mode access
no ip address
speed 10
spanning-tree portfast trunk
!
interface GigabitEthernet2/0/19
switchport trunk encapsulation dot1q
switchport mode trunk
no ip address
!
interface GigabitEthernet2/0/20
switchport trunk encapsulation dot1q
switchport mode trunk
switchport nonegotiate
no ip address
!
interface GigabitEthernet2/0/21
switchport trunk encapsulation dot1q
switchport mode trunk
no ip address
duplex full
speed 100
!
interface GigabitEthernet2/0/22
switchport trunk encapsulation dot1q
switchport mode trunk
switchport nonegotiate
no ip address
duplex full
speed 100
channel-group 1 mode on
!
interface GigabitEthernet2/0/23
switchport trunk encapsulation dot1q
switchport mode trunk
switchport nonegotiate
no ip address
duplex full
speed 100
channel-group 1 mode on
!
interface GigabitEthernet2/0/24
switchport trunk encapsulation dot1q
switchport mode trunk
switchport nonegotiate
no ip address
duplex full
speed 100
channel-group 1 mode on
!
interface GigabitEthernet2/0/25
no ip address
!
interface GigabitEthernet2/0/26
no ip address
!
interface GigabitEthernet2/0/27
no ip address
!
interface GigabitEthernet2/0/28

no ip address
!
interface Vlan1
no ip address
!
interface Vlan2
ip address 172.16.7.254 255.255.248.0
ip helper-address 172.16.16.1
ip helper-address 172.16.16.2
ip helper-address 172.16.8.1
!
interface Vlan3
ip address 172.16.15.254 255.255.248.0
ip helper-address 172.16.16.1
ip helper-address 172.16.16.2
ip helper-address 172.16.8.1
!
interface Vlan4
ip address 172.16.23.254 255.255.248.0
ip helper-address 172.16.16.1
ip helper-address 172.16.16.2
ip helper-address 172.16.8.1
!
interface Vlan5
ip address 172.16.31.254 255.255.248.0
ip broadcast-address 172.16.16.1
ip access-group 122 in
ip access-group 122 out
ip helper-address 172.16.16.1
ip helper-address 172.16.16.2
carrier-delay msec 0
!
interface Vlan6
ip address 172.16.255.254 255.255.248.0
ip helper-address 172.16.16.1
ip helper-address 172.16.16.2
!
interface Vlan7
ip address 10.35.5.254 255.255.255.0
ip helper-address 172.16.16.1
ip helper-address 172.16.16.2
ip helper-address 172.16.8.1
!
ip default-gateway 10.35.5.4
ip classless
ip forward-protocol udp netbios-ss
ip route 0.0.0.0 0.0.0.0 172.16.16.5
ip route 10.2.1.0 255.255.255.0 10.35.5.4
ip http server
!
ip access-list extended CMP-NAT-ACL
dynamic Cluster-HSRP deny ip any any
dynamic Cluster-NAT permit ip any anyaccess-list 122 permit tcp any 172.16.16.0 0.0.7.255
access-list 122 permit udp any 172.16.16.0 0.0.7.255
access-list 122 deny udp any any eq 1433
access-list 122 deny udp any any eq 1434
access-list 122 deny tcp any any eq 8080
access-list 122 deny tcp any any eq www
access-list 122 deny tcp any any eq ftp
access-list 122 deny tcp any any eq telnet
access-list 122 deny tcp any any eq 5190
access-list 122 deny tcp any any eq 8396
access-list 122 deny tcp any any eq 58296
access-list 122 deny tcp any any eq pop3
access-list 122 deny tcp any any eq smtp
access-list 122 deny tcp any any eq 443
access-list 122 deny tcp any any eq nntp
access-list 122 deny tcp any any eq 522
access-list 122 deny tcp any any eq 389
access-list 122 deny tcp any any eq 1503
access-list 122 deny tcp any any eq 1720
access-list 122 deny tcp any any eq 1731
access-list 122 deny tcp any any eq 1214
access-list 122 deny tcp any any eq 5500
access-list 122 deny tcp any any eq 5800
access-list 122 deny tcp any any eq 5900
access-list 122 deny tcp any any eq 3389
access-list 122 deny udp any any eq 3389
access-list 122 deny udp any any eq 21
access-list 122 deny udp any any eq 23
access-list 122 permit tcp any 172.16.24.0 0.0.7.255
access-list 122 deny tcp any any eq 22
access-list 122 deny ip any host 172.16.23.254
access-list 122 permit icmp any 172.16.24.0 0.0.7.255
access-list 122 permit icmp any 172.16.16.0 0.0.7.255
access-list 122 permit udp any any
access-list 122 permit udp any 172.16.24.0 0.0.7.255
access-list 123 permit tcp any 172.16.16.0 0.0.7.255
access-list 123 permit udp any 172.16.16.0 0.0.7.255
access-list 123 permit icmp any 172.16.16.0 0.0.7.255
access-list 123 permit tcp any 172.16.24.0 0.0.7.255
access-list 123 permit udp any 172.16.24.0 0.0.7.255
access-list 123 permit icmp any 172.16.24.0 0.0.7.255
access-list 123 permit tcp host 172.16.16.1 172.16.8.0 0.0.7.255
access-list 123 permit udp host 172.16.16.1 172.16.8.0 0.0.7.255
access-list 123 permit icmp host 172.16.16.1 172.16.8.0 0.0.7.255
access-list 123 permit tcp host 172.16.16.2 172.16.8.0 0.0.7.255
access-list 123 permit udp host 172.16.16.2 172.16.8.0 0.0.7.255
access-list 123 permit icmp host 172.16.16.2 172.16.8.0 0.0.7.255
access-list 140 permit ip any any
access-list 140 permit icmp any any
access-list 155 permit udp any 172.16.16.0 0.0.7.255
access-list 155 permit tcp any 172.16.16.0 0.0.7.255
access-list 155 permit ip any 172.16.16.0 0.0.7.255
access-list 155 permit ip any 172.16.24.0 0.0.7.255
access-list 155 permit udp any 172.16.24.0 0.0.7.255
access-list 155 permit tcp any 172.16.24.0 0.0.7.255
!
line con 0
line vty 0 4

zo... inmiddels ben ik over gegaan van xs list 122 naar 155
dit lijkt met 60 clients zonder problemen te gaan (eindelijk)

kijken hoe het morgen gaat als er 300 online gaan

tnx

[ Voor 35% gewijzigd door Duinkonijn op 20-11-2003 16:56 ]

Het is makkelijk om iemand zijn negatieve eigenschappen te benoemen, maar kan je ook de positieve eigenschappen benoemen?