Ciscler 10 Geschrieben 5. Januar 2007 Melden Teilen Geschrieben 5. Januar 2007 Hallo, habe eine IPSEC Verbindung zwischen 2. Standorten mit GRE Tunnel. Bisher haben wir es immer so gemacht das eine ACL auf dem Dialer Interface gebunden wird. Also es darf nur rein udp 500, esp sprich protokoll nummer 50 und die IP Adressen der Endpunkte des GRE Tunnels. acl number 3001 rule 0 permit udp destination-port eq 500 rule 1 permit 50 rule 2 permit gre source 10.240.25.48 0 destination 10.240.25.32 0 Nun möchte ich aber dennoch über diesen Router surfen sprich es gibt eine default route auf den dialer 1. Nur wie mache es nun sicher? Weil um surfen zu können muss ich in der acl number 3001 noch die rule: rule 3 permit ip source 192.168.0.0 0.0.0.255 destination 192.168.0.0 0.0.0.255 sorry das ist ein Ausschnitt der ACL eines 3Com 3035 Routers der eine IPSEC/GRE Verbindung zu einen Cisco 1841 aufbaut. Aber das ist ja eigentlich egal irgendwie fehlt mir der Gedanken Schritt. Danke für alle Antworten Gruß Dirk Zitieren Link zu diesem Kommentar
Ciscler 10 Geschrieben 7. Januar 2007 Autor Melden Teilen Geschrieben 7. Januar 2007 Hallo, also ich möchte zusätzlich surfen habe also port 80 freigegeben klappt aber nicht. Muss ich noch irgendeinen port freigeben damit ich ganz normal surfen kann? Oder kann mir jemand evtl. aus seiner acl was posten wo das selbe erlaubt wurde? Gruß Dirk Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 8. Januar 2007 Melden Teilen Geschrieben 8. Januar 2007 Wahrscheinlich musst du noch DNS freischalten. Zitieren Link zu diesem Kommentar
Ciscler 10 Geschrieben 12. Januar 2007 Autor Melden Teilen Geschrieben 12. Januar 2007 Hallo, ja es lag am DNS :cool: danke für die schnelle Antwort. Aber was ist eigentlich sicherer wirklich Ports offen machen z.B. Ports für http, smtp, pop3 usw. oder einfach tcp established erlauben? Ich kann doch besser hingehen und auf dem Dialer für einkommende Pakete eine ACL mit tcp established anlegen und zusätlich noch eine ACL anlegen die ich dann auf das Ethernet Interface binde. Und auf dem Ethernet Interface nur bestimmte ports erlaube. Gruß Dirk Zitieren Link zu diesem Kommentar
mturba 10 Geschrieben 12. Januar 2007 Melden Teilen Geschrieben 12. Januar 2007 Noch ein bisschen sicherer bekommst du's, wenn du session filtering mit reflexiven Accesslisten verwendest: Cisco Systems - Configuring IP Access Lists Das ist aber vorsichtig zu verwenden - je nach Routermodell geht das ganz schön auf die CPU. Zitieren Link zu diesem Kommentar
Ciscler 10 Geschrieben 12. Januar 2007 Autor Melden Teilen Geschrieben 12. Januar 2007 Worin liegt da der Vorteil von diesen Access Control Listen hast du evtl. irgendwelche Links? Gruß Dirk Zitieren Link zu diesem Kommentar
mturba 10 Geschrieben 12. Januar 2007 Melden Teilen Geschrieben 12. Januar 2007 Hm, hab irgendwie Mist gebaut beim Einfügen des Links vorhin... hab meinen Beitrag entsprechend ergänzt. Der Vorteil liegt darin, dass Antwortverkehr dynamisch erlaubt werden kann und z.B. nicht allgemein HTTP oder tcp established erlaubt werden muss. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.