Port weiterleitung

[Sternenkind 11]

Da mein anderer Thread in unübersichtlichen Chaos versank und mein Problem Portweiterleitung erst am Ende rein geflossen ist einmal in neu:

 

Verwendet wird (aus dem Kopf)

ip nat inside source static 192.168.14.2 443 interface dialer1 443

(oder sehr ähnlich)

 

Gebe ich no access-list 111 ein ist alles gut, deshalb liegt mein Fehler wohl in folgendem:

 

 

access-list 111 permit icmp any any administratively-prohibited

access-list 111 permit icmp any any echo

access-list 111 permit icmp any any echo-reply

access-list 111 permit icmp any any packet-too-big

access-list 111 permit icmp any any time-exceeded

access-list 111 permit icmp any any traceroute

access-list 111 permit icmp any any unreachable

access-list 111 permit udp any eq bootps any eq bootpc

access-list 111 permit udp any eq bootps any eq bootps

access-list 111 permit udp any eq domain any

access-list 111 permit esp any any

access-list 111 permit tcp any any established

access-list 111 permit tcp any any eq 1723

access-list 111 permit udp any any eq isakmp

access-list 111 permit udp any any eq 10000

access-list 111 permit udp any any eq netbios-ns

access-list 111 permit udp any any eq netbios-dgm

access-list 111 permit gre any any

access-list 111 deny ip any any

access-list 111 permit tcp any any eq 22

access-list 111 permit udp any any eq non500-isakmp

access-list 111 permit ahp any any

access-list 111 permit tcp any any eq 1023

 

 

Folgendes half nicht!?

access-list 111 permit tcp any any eq 443

 

Danke für gute Ideen :)

 

*Wie gefährlich ist eigentlich realistisch betrachtet bei no access-list 111 zu bleiben?*

[Wordo 11]

Wenn, dann machste erst mal ein no access-list 111 und dann kopierste alles wieder rein, aber so, dass nicht in der Mitte deny ip any any steht sondern am Ende ;)

 

Und dann klappt das auch ...

[Otaku19 33]

lösche die acl 111 komplett und trag sie dann neu und mit angefügter Zeile:

access-list 111 permit tcp any any eq 443

 

kann allerdings nicht schaden die Ziele für https evtl zu definieren und kein any any zu fahren, wird ja schließlich bekannt sein wo https bei dir angeboten wird

 

huch wordo hats gefunden :)

[Sternenkind 11]

Ich hasse ja das Befehle in den Router hämmern und mach immer copy run tftp://rechner/datei

Wordpad - speichern

Notepad - bearbeiten

 

copy tftp://rechner/datei start

 

rel

 

Sollte aber kein Problem sein?

[Wordo 11]

Vor dem reload vll noch ein "sh startup" und gucken ob alle IFs auf noch shut stehen etc.

[Sternenkind 11]

DAS passiert mit Sicherheit nie wieder :D

 

Lang ists her und außerdem habe ich einen Com1 angeschlossen und eine Sekretärin dressiert - wie praktisch gescheiterte neugierige Informatikstudentinnen beim Kunden zu haben :D

–

Läuuuft, läuuuuft *freu*

 

Also ist alles je weiter oben in der access-list desto mehr Priorität und nicht deny ist die Basis und alles permittete ist mehr wert, ich beginne zu verstehen :D

[Otaku19 33]

jo ACLs gehen immer von oben bzw die Sequenz aufsteigend durch bis ein "match" da ist...und ein deny any ist eben ein deny any und passt auf alles. Du hast auch bei jeder ACL ein implizites deny all zum Schluss drin, ausser du setzt selbt ein permit any ans Ende.

 

der normale Ablauf ist allerdings das man direkt am Router arbeitet, ausser man muss sehr komplexe Dinge eintragen.

Ud der Umweg über TFTP ist für Konfigteile überhaupt Unfug in meinen Augen, wozu gibts einfach copy&paste ?