Zur Aufbereitung von Access-Listen von Cisco-Firewalls (PIX, FWSM) hat Herr M. Kötter in seiner Tätigkeit für das RRZN einen Parser programmiert. Ausgabe des Parsers ist HTML. Zweck des Parsers am RRZN ist die Aufbereitung der Regeln in eine lesbare Form für Dritte, deren Firewall das RRZN administriert, die aber selbst kein Login auf der Firewall haben.

Der Parser hat mehrere Kommandozeilen-Optionen, die die Filterung von Regeln, Interfaces und Objekt-Definitionen nach gewissen IP-/CIDR-Adressen zulässt, wobei die nicht passenden Einträge wahlweise unterdrückt oder ausgegraut werden (Hilfe/Usage mit Option -h). Der Parser löst verschachtelte Definitionen (z.B. Network-Group als Element einer Network-Group) bereits beim Parsen auf.

Download des Cisco-ACL-Parser

Evt. sind Perl-Module über die CPAN-Shell zu installieren. Diese sind am Anfang des Skriptes in den use-Befehlen aufgeführt, derzeit Parse::RecDescent, Net::Netmask, Getopt::Std. Das Skript funktioniert auch unter Windows mit ActivePerl.

Technisch:

Der Parser ist in Perl als Kommandozeilen-Tool geschrieben. Da die rekursive Auflösung der Regeln eine Neudefinition der Grammatik nötig machen, kann es beim Parsen zu Warnings kommen, die aber ignoriert werden können. Intern wird zuerst geparst, das Eingelesene in Hash-Maps abgelegt. Danach erst erfolgt die HTML-Ausgabe. Statt der HTML-Ausgabe ist natürlich auch jede andere Auswertung der Hash-Maps programmierbar, das Parsing muss dafür nicht verändert werden. Die HTML-Ausgabedatei enthält eingebettetes CSS, auf zusätzliche separate Dateien wurde bewusst verzichtet, um die Weitergabe der Ausgabedatei einfach zu halten.

Für diesen Tipp / die Software bzw. Skripte leistet das RRZN keinen Support. Beachten Sie bitte die Hinweise auf der Anleitungen-Seite.