|
cisco ACL ->parameter eq und log bzw. update-log
ich stells mal hier rein - weils zum CCNA gehört, falls doch nicht - bitte ins richtige forum verschieben - thx.
hallo leute, hab mal wieder fragen, welche mir meine lehrerin absolut nicht beantworten konnte. nr.1 - eq extended acl parameter: operator [eq, lt, gt, neq, range] #access-list 114 permit tcp 172.16.6.0 0.0.0.255 any eq telnet bei den anderen parametern ists mir schon klar, aber eq (gleich)? wenn ich nur diesen einen port angebe bräuchte ich doch eqal nicht - darf ichs dann weglassen oder muss ich es hinschreiben? ** nr.2 - log #access-list 114 permit tcp 172.16.6.0 0.0.0.255 any eq telnet log by default wird eine nachricht für das erste zutreffende packet generiert, dann alle 5 min. wenn ich andere einstellungen möchte, kann ich es mit ip access-list log-update und logging console. hab einiges ausprobiert, aber ich bekam absolut keinerlei infos. täusch ich mich oder müssten diese nachrichten nicht genauso an die console geleitet werden wie zb. ein debug befehl? dankeschön :) |
ad 1: ich sage mal ja, man kanns weglassen, aber wie wärs mit ausprobiern? ;)
ad 2: ich schätze, dass das nicht möglich sein wird weil ja die komplette konsole zugespammt wird wenn jetz reger (betriebs-)traffic herrscht. |
na gut dann probier ichs morgen mal aus. so und was machma dann wenns funzt?? dann kann ichs mir beim test aussuchen und raten obs cisco will oder nicht *grml* *schönlangsamglaubichciscoisdooof*
:lol: debug all :D naja - dazu sag ich mal, wo schreibts er sonst hin? wär doch irgendwie sinnlos wenn er was loggt und es dann nicht eingesehn werden kann... |
vielleicht in ein logfile? :D
liegt dann halt im nvram, an befehl zum auslesen wirds klarerweise auch geben, bei google hab ich auf die gachn nix gfunden, nur komplette listen wo die gesamte nvram config aufgelistet is. |
weiss schon kannste auch mit "dir" angucken aber ich hab in der cisco referenz nachgeschaut, dort ist nirgendwo gestanden, das ein logfile erstellt wird.
|
Hi!
ad1) Du hast einen PERMIT Eintrag. Wenn DU diesen weg lässt, lässt Du sämtlichen TCP Verkehr hinein. Wäre dein ACL Eintrag ein deny, hättest Du recht. ad2) #term mon in die COnsole hacken, und schon hast DU die Logmeldungen auf der Console :) lg, roli |
sorry aber ich weiss nicht was ad1 mit meinen fragen zu tun hat?
ich hab permit nur als beispiel genommen. mir ging es aber um den parameter eq und log. (mit permit log - stimmts schon dass er nur die permits aufzeichnet und die implicit deny nicht) zu ad2 ich bin bereits auf der console und telnete mich nicht zu einem router hin wobei ich dort erst das logging mit terminal monitor aktivieren muss. es geht um log einträge der acl - die müssen doch wo "quasi" gespeichert werden, es wäre doch sinnlos wenn sie ständig ausgegeben werden und man sie nicht irgendwo selbst abrufen kann - ein admin wird wohl kaum den ganzen tag auf die console starren und hoffen dass was passiert :o ;) |
Hi nochmal!
Ich habs einfach schlampert gelesen: ad1)bei statischen NAT einträgen brauchst Du kein eq, bei ACLs schon. Nimms wie es ist :) . ad2) "sh access-list 114" zeigt Dir die Anzahl der Hits auf Deine ACL. Schönes neues Jahr, roli |
Zitat:
sh access-list 114 zeigt mir die statements welche ich in der acl habe ;) |
Bitte sehr:
roli-adsl#sh access-lists 111 10 permit icmp any any echo-reply (18 matches) 20 permit icmp any any packet-too-big 30 permit icmp any any time-exceeded (752 matches) 40 permit icmp any any unreachable (2248 matches) 50 permit tcp any any eq telnet (32 matches) 60 deny ip any any (2001 matches) In Klammern die Hits. lg, roli |
ich bin ein bisschen verwirrt weil in meinem buch steht was anderes und wenn das log nur als match angezeigt wird ists eigentlich eher sinnlos besonders bei einem acl-range-statement. dachte eher an eine anzeige wie: source-ip, etc.
also in meinem buch steht folgendes: log (optional) causes an informational loggging message about the packet that mactches entry to be sent to the console. (the level of messages logged to the console is controlled by logging console command.) (so und jetzt kommts) the message includes the access list number, whether the packet was permitted or denied; the protocol, whether it was TCP, UDP, ICMP, or a number; and, if appropiate, the source and destination addresses and source and destination port numbers. by default, the message is generated for the first packet that matches and then at five-minute intervals, including the number of packets permitted or denied in the previous five-minute interval. use the ip access-list log-update command to generate logging messages when the number of matches reaches a configurable threshold(instead of waiting for a five-minuten intervall.) see the ip access-list log-update command for more information. und es gibt leider keine syntaxbeispiele und ergebnisbeispiele dazu. :( |
(config)#logging buffered 64000 debug
lg, roli |
| Alle Zeitangaben in WEZ +2. Es ist jetzt 04:56 Uhr. |
Powered by vBulletin® Copyright ©2000 - 2026, Jelsoft Enterprises Ltd.
© 2009 FSL Verlag