Habe ich die Aufgaben korrekt gelöst (Access-Listen)?
ich bin Abturientin und schreibe nächste Woche eine Informatik Probeklausur. Das Thema Access-Listen wird auch vorkommen. Ich habe einige Aufgaben dazu gemacht aber weiß nicht ob ich sie richtig gelöst habe. Wir haben ein simuliertes Netzwerk bekommen. Es wäre lieb wenn jemand drüber schauen könnte. Dankee im Vorraus.
Aufgabe + meine Lösung
Für den Router E sollen die unten stehenden ACL's erstellt werden.
1.1 Der Bereich A soll durch zwei geteilt werden und aus der ersten Hälfte dürfen nur die ungeraden Adressen Zugriff erhalten. Aus der zweiten Hälfte dürfen nur die geraden Adressen Zugriff bekommen.
access-list 10 permit 192.168.40.1 0.0.0.254
access-list 10 permit 192.168.41.0 0.0.0.254
1.2 Aus dem Bereich D dürfen nur die Adressen größer als 192.168.42.127 zugelassen werden. Ausgenommen die Adresse 192.168.42.200!!!
access-list 20 permit 192.168.42.127 0.0.0.126
access-list 20 deny 192.168.42.200 0.0.0.0
1.3 Aus dem Bereich B dard nur der Adressbereich zwischen 192.168.43.32 und 192.168.43.95 Zugriff erhalten.
access-list 30 permit 192.168.43.32 0.0.0.31
access-list 30 permit 192.168.43.0 0.0.0.94
2 Antworten
1.1
scheint korrekt zu sein.
1.2 Aus dem Bereich D dürfen nur die Adressen größer als 192.168.42.127 zugelassen werden. Ausgenommen die Adresse 192.168.42.200!!!
access-list 20 permit 192.168.42.127 0.0.0.126
access-list 20 deny 192.168.42.200 0.0.0.0
Hier stimmt die Reihenfolge nicht. Beide Zeilen müssen getauscht werden. Erst den einzelnen Host verbieten, dann den Rest erlauben. So, wie Du es jetzt hast, wird ja der Host durch die erste Zeile erlaubt, das Verbot der zweiten Zeile kommt nicht zur Wirkung. Und anschließend steht das implizite deny any ...
In der ersten Zeile passt auch die Wildcard nicht.
192.168.42.127: 192.168.42.01111111
192.168.42.255: 192.168.42.11111111
Das sind die erste und die letzte zu erlaubenden Adressen. Welche Bits sind bei allen Adressen identisch? Wo liegen die Unterschiede? Daraus ergibt sich die Wildcard.
Bei der Zeile
access-list 20 deny 192.168.42.200 0.0.0.0
kannst Du die Wildcard Mask weglassen, weil bei Standard ACLs die 0.0.0.0 Default ist. Generell kannst Du auch abkürzen:
access-list 20 deny host 192.168.42.200
1.3 Aus dem Bereich B dard nur der Adressbereich zwischen 192.168.43.32 und 192.168.43.95 Zugriff erhalten.
access-list 30 permit 192.168.43.32 0.0.0.31
access-list 30 permit 192.168.43.0 0.0.0.94
Auch hier passen die Masken nicht.
192.168.43.32: 192.168.43.00100000
192.168.43.63: 192.168.43.00100000
als erster Bereich und
192.168.43.64: 192.168.43.01011111
192.168.43.35: 192.168.43.01011111
Bei der letzten Aufgabe blicke ich nicht ganz durch
Ich auch nicht. Da habe ich mich verschrieben bzw. auch Copy&Paste-Fehler gemacht. :-(
Es geht um den Bereich 192.168.43.32 und 192.168.43.95. Binär:
192.168.43.00100000
192.168.43.01011111
Du siehst dass das zweite und dritte Bit im letzten Byte unterschiedlich ist. Deshalb kannst Du das nicht mit einer Zeile abbilden. Ich mache also zwei Bereiche. Im ersten Bereich sind die ersten drei Bit auf 001 gesetzt:
192.168.43.32: 192.168.43.00100000
192.168.43.63: 192.168.43.00111111
Im zweiten Bereich setze ich die ersten drei Bit auf 010:
192.168.43.64: 192.168.43.01000000
192.168.43.95: 192.168.43.01011111
So müsste es jetzt passen.
Ich habe die zweite Aufgabe nochmals getestet und habe festgestellt, dass sie nicht ihren Zweck erfüllt. Ich habe die Wildcardmaske 0.0.0.127. Aber wenn ich permit 192.168.43.128 0.0.0.127 benutze, funktioniert es. Wissen Sie vielleicht woran es liegen könnte? Die 128 müsste doch eigentlich falsch sein. Wenn ich die 127 nehme werden nur Pakete von der 127 zugelassen.
Ich habe die Wildcardmaske 0.0.0.127.
Das wäre:
0.0.0.01111111
In beiden von mir genannten Bereichen sind die ersten drei Bits aller zu filternden Adressen identisch, nämlich 001 bzw. 010. Das bedeutet, dass diese drei Bits beachtet werden müssen, in der Wildcard Mask also auf 0 zu setzen sind. Die Bits, die nicht identisch sind, müssen ignoriert werden, also in der Wildcard Mask auf 1 gesetzt werden.
192.168.43.00100000 0.0.0.00011111
192.168.43.32 0.0.0.31
192.168.43.01000000 0.0.0.00011111
192.168.43.64 0.0.0.31
Tut mir Leid , ich habe mich unklar ausgedrückt. Ich meine aber diese Aufgabe:
Aus dem Bereich D dürfen nur die Adressen größer als 192.168.42.127 zugelassen werden. Ausgenommen die Adresse 192.168.42.200!!!
Ich habe
access-list 20 deny 192.168.42.200 0.0.0.0
access-list 20 permit 192.168.42.127 0.0.0.127
Und am Ende noch das deny.
Es können aber nur Pakete von der Adresse ….127 zugelassen werden, wenn ich die obige ACL eingebe.
Ich habe dann die ACL nochmal geändert und access-list 20 permit 192.168.42.128 0.0.0.127
verwendet. So hat es seine Zweck erfüllt. Aber warum? Es müsste doch ….127 sein. Die ….128 müsste doch falsch sein. Warum ist die …128 richtig?
Tut mir Leid , ich habe mich unklar ausgedrückt. Ich meine aber diese Aufgabe:
Und ich habe nicht noch einmal hochgescrollt um nachzuschauen, was Aufgabe 2 war ...
access-list 20 deny 192.168.42.200 0.0.0.0
Das ist korrekt, auch von der Reihenfolge her.
access-list 20 deny 192.168.42.200
und
access-list 20 deny host 192.168.42.200
wären übrigens äquivalent. Bei Standard-Accesslisten ist die Wildcard 0.0.0.0 default und kann auch mit dem Schlüsselwort host geschrieben werden.
access-list 20 permit 192.168.42.127 0.0.0.127
Schreiben wir das auch mal binär:
Zugelassen werden soll von 192.168.42.128 bis 255:
192.168.42.128: 192.168.42.10000000
192.168.42.255: 192.168.42.11111111
Das erste Bit im vierten Oktett ist also immer 1, der Rest ist variabel. Also muss in der Wildcard Mask das erste Bit auf 0 gesetzt werden, der Rest ist auf 1 zu setzen:
01111111
Dann komme ich auf die 0.0.0.127 als Wildcard.
Es können aber nur Pakete von der Adresse ….127
Die Aufgabe lautet: größer 192.168.42.127, also ab 128.
Kannst du doch im Packet-Tracer nachbauen und überprüfen. Du musst aber die Listen noch auf die Interface binden und in/out beachten.
Bei der letzten Aufgabe blicke ich nicht ganz durch. Warum geht es dort nur bis zur 64? Und wie kommt da genau auf die Wildcard Maske? Es gibt ja keine identischen Bits.