stoffel_hessen 10 Geschrieben 27. Februar 2008 Melden Teilen Geschrieben 27. Februar 2008 Hallo zusammen, ich habe noch ein kleines Problem mit den AccessListen. Ich möchte für einen Client in lokalen Netzwerk IP-Adressen im Internet Sperren. Ich habe folgende Konfiguration. interface Dialer1 ip address negotiated ip access-group 111 in ip access-group 121 out ip mtu 1492 ip nat outside ip inspect myfw out ip virtual-reassembly encapsulation ppp ip tcp adjust-mss 1452 dialer pool 1 dialer remote-name redback dialer-group 1 ppp authentication pap chap callin ... access-list 102 permit ip 192.168.0.0 0.0.0.255 any access-list 111 permit udp any eq domain any access-list 111 deny ip any any access-list 121 deny tcp host 192.168.0.251 host 208.65.153.238 access-list 121 deny tcp host 192.168.0.251 host 208.65.153.251 access-list 121 deny tcp host 192.168.0.251 host 208.65.153.253 access-list 121 permit tcp any any eq www access-list 121 permit tcp any any eq pop3 access-list 121 permit tcp any any eq smtp access-list 121 permit tcp any any eq domain access-list 121 permit udp any any eq domain access-list 121 permit tcp any any eq 81 access-list 121 permit tcp any any eq ftp-data access-list 121 permit tcp any any eq ftp access-list 121 permit udp any any eq time access-list 121 permit tcp any any eq 37 access-list 121 permit tcp any any eq nntp access-list 121 permit tcp any any eq 443 access-list 121 permit tcp any any eq 465 access-list 121 permit tcp any any eq 123 access-list 121 permit tcp any any eq 995 access-list 121 permit tcp any any eq 3000 access-list 121 deny ip any any Die Zieladressen 208.65.153.238, 208.65.153.251, 208.65.153.253 sind von diesem Host immer noch erreichbar. Wenn ich diese 3 Zeilen access-list 121 deny tcp host 192.168.0.251 host 208.65.153.253 access-list 121 deny tcp host 192.168.0.251 host 208.65.153.251 access-list 121 deny tcp host 192.168.0.251 host 208.65.153.240 durch diese ersetze access-list 121 deny tcp any host 208.65.153.253 access-list 121 deny tcp any host 208.65.153.238 access-list 121 deny tcp any host 208.65.153.251 sind die Adressen im ganzen Netz nicht mehr erreichbar. Was habe ich falsch gemacht. Ist ein Cosco 836 Danke für die Hilfe Zitieren Link zu diesem Kommentar
makana 10 Geschrieben 27. Februar 2008 Melden Teilen Geschrieben 27. Februar 2008 wie sind denn die ziel addressen noch erreichbar per ping ? oder kannst du auch traffic machen Zitieren Link zu diesem Kommentar
blackbox 10 Geschrieben 27. Februar 2008 Melden Teilen Geschrieben 27. Februar 2008 ich vermute eher, das es durch das NAT kommt - an der stelle hat er nicht mehr die 192... - setzte doch mal bei der access-list 121 deny tcp any host 208.65.153.253 nen LOG dahinter und schau was er da wirlich blockt... Zitieren Link zu diesem Kommentar
rob_67 10 Geschrieben 28. Februar 2008 Melden Teilen Geschrieben 28. Februar 2008 ...oder setz den Filter aufs LAN IF. gruss rob Zitieren Link zu diesem Kommentar
makana 10 Geschrieben 28. Februar 2008 Melden Teilen Geschrieben 28. Februar 2008 Probier mal so ich denke du hast einen fehle in den host bits der wild cards ich mein es müßte so aussehen access-list 121 deny tcp host 192.168.0.251 0.0.0.0 host 208.65.153.253 0.0.0.0 eq 80 access-list 121 deny tcp host 192.168.0.251 0.0.0.0 host 208.65.153.251 0.0.0.0 eq 80 access-list 121 deny tcp host 192.168.0.251 0.0.0.0 host 208.65.153.240 0.0.0.0 eq 80 und tip Extended acls werden immer so na wie möglich an der quelle gesetzt im gegensatz zu Standrad acl also brenne die ACL auf dein lan interface " ethernet" access-class 121 in Zitieren Link zu diesem Kommentar
frzso 10 Geschrieben 28. Februar 2008 Melden Teilen Geschrieben 28. Februar 2008 so funkts auf keinen fall "host" entspricht den "0.0.0.0" und doppelt hält bei cisco sicher nicht besser... und wie bereits von blackbox angesprochen passiert das nat bevor der router die acl's abhandelt Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.