Hat das schon mal jemand realisiert?
Ich bin bei dem Thema ein echter newbie... :-/
Was ich erreichen möchte:
Ein /24ziger Netz liegt in einem VLAN, ich möchte nun verhindern, dass Clients innerhalb dieses VLANs miteinander kommunizieren bzw. eigentlich möchte ich, dass nur Pakete zwischen Client und GW, also dem Layer3-Switch hin und her gehen können.
Wie ich mir das vorstelle:
Mit SwitchACLs...
Aber so wirklich plan davon hab ich nicht! :-(
Es handelt sich um einen recht guten Ciscoswitch, der sowohl ACLs auf MAC, als auch IP-Ebene anbietet.
Kann mir da jemand "Starthilfe" geben?
BG
/dev/null
Client isolation via SwitchACLs?
Re: Client isolation via SwitchACLs?
Keiner? :-(
-
rudelgurke
- Posts: 409
- Joined: 2008-03-12 05:36
Re: Client isolation via SwitchACLs?
Vielleicht Keiner der hilfreich sein kann ;)
Kurz - ich würde für so etwas eher ein Handling über die Firewall empfehlen. Je nachdem was verwendet wird, wenn Zonen unterstützt werden einfach das VLAN in eine eigene Zone packen, Intra-Zone Traffic verbieten und dann je nach Bedarf freischalten.
Experimente mit ACL's auf Switch-Ebene, abseits von VLAN's, hatte - für mich persönlich - mehr das Gefühl hinterlassen hier wird Firewall-Funktionalität auf den Switch gepackt was, ähnlich wie Switch-Funktionalität auf der Firewall, eher schlecht als recht funktioniert.
Kurz - ich würde für so etwas eher ein Handling über die Firewall empfehlen. Je nachdem was verwendet wird, wenn Zonen unterstützt werden einfach das VLAN in eine eigene Zone packen, Intra-Zone Traffic verbieten und dann je nach Bedarf freischalten.
Experimente mit ACL's auf Switch-Ebene, abseits von VLAN's, hatte - für mich persönlich - mehr das Gefühl hinterlassen hier wird Firewall-Funktionalität auf den Switch gepackt was, ähnlich wie Switch-Funktionalität auf der Firewall, eher schlecht als recht funktioniert.
Re: Client isolation via SwitchACLs?
Hey rudelgurke,
erst mal danke für die Antwort...
So etwas über die Firewall zu machen ist zwar generell möglich aber in meinen Augen nicht praktikabel. In dem Fall bräuchte ich ja pro Client ein VLAN! Oder hab ich da was falsch verstanden?
BG
/dev/null
erst mal danke für die Antwort...
So etwas über die Firewall zu machen ist zwar generell möglich aber in meinen Augen nicht praktikabel. In dem Fall bräuchte ich ja pro Client ein VLAN! Oder hab ich da was falsch verstanden?
BG
/dev/null
Re: Client isolation via SwitchACLs?
Ja hast du falsch verstanden, wie er sagte, pack das ganze VLAN in eine Zone und für diese Zone definierst du dann die Firewall Regeln.
Diese Regeln gelten dann für das gesamte VLAN, also alle Clients im VLAN.
Diese Regeln gelten dann für das gesamte VLAN, also alle Clients im VLAN.
Re: Client isolation via SwitchACLs?
Aber ist das nicht genau die Definition einer Switch ACL? Zumindest hatte ich das genau so verstanden...
Re: Client isolation via SwitchACLs?
Nein, für diese art der Anwendung ist eine Switch ACL nicht gedacht.
Re: Client isolation via SwitchACLs?
Sorry wenn ich da noch mal nachharke, aber wie soll das bitte technisch funktionieren?
Ich habe alle Geräte an einem Switch im VLAN X erfolgt ein (TCP/UDP/ICMP/blablabla :D) Zugriff innerhalb dieses VLANs (VLAN in dem Fall auch gleich Subnetz) gehen die Geräte doch gar nicht an ihren Gateway (Firewall) ran. Wie sollen nun also die Regeln greifen? Damit das funktioniert müsste ja jedes Gerät direkt an einem FWPort, oder in einem eigenen VLAN mit der FW als Gateway hängen...
Nicht das wir uns Falsch verstehen... Ich spreche von Client Isolation.
Ich habe alle Geräte an einem Switch im VLAN X erfolgt ein (TCP/UDP/ICMP/blablabla :D) Zugriff innerhalb dieses VLANs (VLAN in dem Fall auch gleich Subnetz) gehen die Geräte doch gar nicht an ihren Gateway (Firewall) ran. Wie sollen nun also die Regeln greifen? Damit das funktioniert müsste ja jedes Gerät direkt an einem FWPort, oder in einem eigenen VLAN mit der FW als Gateway hängen...
Nicht das wir uns Falsch verstehen... Ich spreche von Client Isolation.
Re: Client isolation via SwitchACLs?
Stell dir doch mal die Frage: Wie kann ein Switch wohl die ACL Anweisungen umsetzen, also wie arbeitet es? Machts klick?
Eine Firewall ist nicht nur zum blockieren da. ;-)
Eine Firewall ist nicht nur zum blockieren da. ;-)