cisco ACL ->parameter eq und log bzw. update-log

[Bastet]

ich stells mal hier rein - weils zum CCNA gehört, falls doch nicht - bitte ins richtige forum verschieben - thx.

hallo leute, hab mal wieder fragen, welche mir meine lehrerin absolut nicht beantworten konnte.

nr.1 - eq
extended acl parameter: operator [eq, lt, gt, neq, range]

#access-list 114 permit tcp 172.16.6.0 0.0.0.255 any eq telnet

bei den anderen parametern ists mir schon klar, aber eq (gleich)? wenn ich nur diesen einen port angebe bräuchte ich doch eqal nicht - darf ichs dann weglassen oder muss ich es hinschreiben?
**

nr.2 - log
#access-list 114 permit tcp 172.16.6.0 0.0.0.255 any eq telnet log

by default wird eine nachricht für das erste zutreffende packet generiert, dann alle 5 min.
wenn ich andere einstellungen möchte, kann ich es mit ip access-list log-update und logging console.

hab einiges ausprobiert, aber ich bekam absolut keinerlei infos. täusch ich mich oder müssten diese nachrichten nicht genauso an die console geleitet werden wie zb. ein debug befehl?


dankeschön

[flocky]

ad 1: ich sage mal ja, man kanns weglassen, aber wie wärs mit ausprobiern?

ad 2: ich schätze, dass das nicht möglich sein wird weil ja die komplette konsole zugespammt wird wenn jetz reger (betriebs-)traffic herrscht.

[Bastet]

na gut dann probier ichs morgen mal aus. so und was machma dann wenns funzt?? dann kann ichs mir beim test aussuchen und raten obs cisco will oder nicht *grml* *schönlangsamglaubichciscoisdooof*


debug all

naja - dazu sag ich mal, wo schreibts er sonst hin? wär doch irgendwie sinnlos wenn er was loggt und es dann nicht eingesehn werden kann...

[flocky]

vielleicht in ein logfile?
liegt dann halt im nvram, an befehl zum auslesen wirds klarerweise auch geben, bei google hab ich auf die gachn nix gfunden, nur komplette listen wo die gesamte nvram config aufgelistet is.

[Bastet]

weiss schon kannste auch mit "dir" angucken aber ich hab in der cisco referenz nachgeschaut, dort ist nirgendwo gestanden, das ein logfile erstellt wird.

[rolid]

Hi!

ad1) Du hast einen PERMIT Eintrag. Wenn DU diesen weg lässt, lässt Du sämtlichen TCP Verkehr hinein.

Wäre dein ACL Eintrag ein deny, hättest Du recht.

ad2) #term mon in die COnsole hacken, und schon hast DU die Logmeldungen auf der Console

lg,
roli

[Bastet]

sorry aber ich weiss nicht was ad1 mit meinen fragen zu tun hat?

ich hab permit nur als beispiel genommen. mir ging es aber um den parameter eq und log. (mit permit log - stimmts schon dass er nur die permits aufzeichnet und die implicit deny nicht)


zu ad2
ich bin bereits auf der console und telnete mich nicht zu einem router hin wobei ich dort erst das logging mit terminal monitor aktivieren muss.

es geht um log einträge der acl - die müssen doch wo "quasi" gespeichert werden, es wäre doch sinnlos wenn sie ständig ausgegeben werden und man sie nicht irgendwo selbst abrufen kann - ein admin wird wohl kaum den ganzen tag auf die console starren und hoffen dass was passiert

[rolid]

Hi nochmal!

Ich habs einfach schlampert gelesen:

ad1)bei statischen NAT einträgen brauchst Du kein eq, bei ACLs schon. Nimms wie es ist .

ad2)
"sh access-list 114" zeigt Dir die Anzahl der Hits auf Deine ACL.

Schönes neues Jahr,
roli

[Bastet]

Zitat:

Original geschrieben von rolid

ad2)
"sh access-list 114" zeigt Dir die Anzahl der Hits auf Deine ACL.

Schönes neues Jahr,
roli

sh access-list 114 zeigt mir die statements welche ich in der acl habe

[rolid]

Bitte sehr:

roli-adsl#sh access-lists 111
10 permit icmp any any echo-reply (18 matches)
20 permit icmp any any packet-too-big
30 permit icmp any any time-exceeded (752 matches)
40 permit icmp any any unreachable (2248 matches)
50 permit tcp any any eq telnet (32 matches)
60 deny ip any any (2001 matches)

In Klammern die Hits.

lg,
roli