rep 10 Geschrieben 24. April 2009 Melden Teilen Geschrieben 24. April 2009 Hallo Leute, ich habe von einer Cisco folgende Konfiguartion erhalten (Auszugsweise für das VLAN) ! interface FastEthernet2/46 switchport access vlan 2 ! interface FastEthernet2/47 switchport access vlan 2 ! interface FastEthernet2/48 switchport access vlan 2 ! interface vlan2 ip address 10.60.2.254 255.255.255.0 ip helper-address 10.60.1.10 ip directed-broadcast ! Nun hat der Windows DC (DHCP) Probleme aus dem Subnetz, das Clients per NetBIOS Broadcast rumrufen das Sie MasterBrowser sind. Das geschieht grob auf Port 137/138. Das möchte ich nun unterbinden. Ebenso möchte ich, da ich den Router nicht selbst Konfiguriere den DHCP Server auch auf anderen IP-Adressen betreiben können, daher nehme ich die Broadcastadresse vom Zielnetz als Helper. Auch CDP wird nicht verwendet, sendet aber alle 60 Sekunden was meinen Dump unschön aussehen läßt ;) Kann ich das nun so Konfigurieren??? Was "ip directed-broadcast" bedeutet und ob das nötig ist weiß ich gerade nicht, und ob der Kontext in dem man das Forwarding ausschaltet auf dem Interface ist weiß ich nicht. ! interface FastEthernet2/46 switchport access vlan 2 ! interface FastEthernet2/47 switchport access vlan 2 ! interface FastEthernet2/48 switchport access vlan 2 ! interface vlan2 ip address 10.60.2.254 255.255.255.0 ip helper-address 10.60.1.255 no ip forward-protocol udp 37 no ip forward-protocol udp 49 no ip forward-protocol udp 53 no ip forward-protocol udp 137 no ip forward-protocol udp 138 ip directed-broadcast no cdp enable ! Es wäre schön da euere Meinung zu bekommen :) Gruß Zitieren Link zu diesem Kommentar
rep 10 Geschrieben 27. April 2009 Autor Melden Teilen Geschrieben 27. April 2009 Also folgende Optionen gehen nur Global und nicht per Interface. no ip forward-protocol udp 37 no ip forward-protocol udp 49 no ip forward-protocol udp 53 no ip forward-protocol udp 137 no ip forward-protocol udp 138 Ansonsten scheint alles so zu klappen wie gedacht. DHCP Directed Broadcast scheint für die WakeON LAN Funktion zu sein, was genau da Weitergeleitet wird, also wie die WakeON LAN Pakete aussehen müssen würde ich aber gern noch mal erfahren. Danke schön... Zitieren Link zu diesem Kommentar
rep 10 Geschrieben 27. April 2009 Autor Melden Teilen Geschrieben 27. April 2009 So, nun wird es echt übel.... Es ist nun alles wie beschrieben eingestellt, aber der Fehler MrxSMB(8003) Bleibt beim DC bestehen. Ich hatte auch wegen dem DHCP Helper und der Suche bei Google zu dem Fehler einen Arikel aus diesem Forum gefunden "RouterGod Trinity Explains The IP Helper-Address Command". Dort steht ja der Hinweis mit der Konfiguration des "no ip forward-protocol". Jetzt ist es gemacht, aber die Fehler gehen weiter. Ein kurzer Wireshark zeigt mir noch immer ganz viele Meldungen aus den Netzen. Da ich den Wireshark im Zielnetz (Netz wo der DC steht) mache sehe ich Pakete die als Ziel aber direkt die IP-Adresse des DCs haben. Entweder greifen die Regeln nicht weil direkt der DC also die Ziel-IP Adresse angeschprochen wird, oder ich kann es mir nicht erklären. In jedem Fall sind es UDP Meldungen mit Source-Port und Dest-Port 138. genau das was ja nicht mehr weitergeleitet werden sollte. Jemand eine Idee? Oder ist es Zeit für das Forum der Windows MCS[AE] Cracks ;( Welche Stellen kann ich mir noch genauer ansehen, welche Infos braucht Ihr noch? Zitieren Link zu diesem Kommentar
rep 10 Geschrieben 16. Mai 2009 Autor Melden Teilen Geschrieben 16. Mai 2009 Es ist geschafft... Das Problem, es gab noch unterverteiler (Ciscos) und diese hatten diese Einstellungen nicht. Da aber die DHCP-Helper auf eine Unicast Adresse (DHCP) Verwiesen haben, kam die Fehlermeldung aus den anderen Netzsegmenten.... Ist mir aufgefallen als ich alles untereinander geschriebne habe... und es waren nur Computer aus anderen Netzen die aufgelistet wurden. Bis zu diesem Tag als ich die Cisco umkonfiguriert hatte. Kurz, es klappt, es waren nur nicht alle Ciscos so Konfigurert :-) Zitieren Link zu diesem Kommentar
collapse 10 Geschrieben 17. Mai 2009 Melden Teilen Geschrieben 17. Mai 2009 ich wuerde die ip directed broadcasts abschalten "Security Hole"! Zitieren Link zu diesem Kommentar
rep 10 Geschrieben 17. Mai 2009 Autor Melden Teilen Geschrieben 17. Mai 2009 kannst du das ausführen, so wie ich das verstanden habe sind die für WOL nötig. Gruß Zitieren Link zu diesem Kommentar
collapse 10 Geschrieben 20. Mai 2009 Melden Teilen Geschrieben 20. Mai 2009 Fals ihr LANDESK verwendet und die Doku sagt, Broadcast similiar Packet "Magic Packet" .... Probiers aus und du wirst sehen es lauft trozdem. Sogut wie keine Firewall laest dir heutzutage diesen Command per Default zu. Und auch nur Alte Cisco Router haben diese Command per Def eingeschaltet sollte seit der 12.2 auf no stehen. mfg gn8 Zitieren Link zu diesem Kommentar
rep 10 Geschrieben 21. Mai 2009 Autor Melden Teilen Geschrieben 21. Mai 2009 Verstehe ich nun nicht, was soll ich probieren und was funktioniert trotzdem? Wo genau ist nun das Sicherheitsrisiko. Ich habe nur verstanden das ein Broadcast an eine Netzadresse (Layer3) Druch diese Option am Ende in dem VLAN dann auf Layer2 übertragen wird. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.