portfilter DNS und w2k3s

[0815user 10]

hallo zusammen,

 

ich habe folgendes problem. ich habe einen w2k3s als DC inkl. DNS zu testzwecken aufgesetzt und moechte nun, das er nicht aufloesbare adressen ueber unseren router ( cisco 2600er serie ) an unseren ISP dns weiterleitet. dazu befinden sich in der acl ua. folgende eintraege:

 

access-list 100 permit udp any host <ip des w2k3s> eq domain

access-list 100 permit tcp any host <ip des w2k3s> eq domain

 

allerdings findet keine dns-aufloesung statt. wenn ich allerdings alle ports fuer den w2ks freischalte ( fuer den realen betrieb nicht erwuenscht ), dann funzt das ganze.

 

hat hier jmd eine erklaerung/loesung ?

 

mfg

0815user

[scooby 10]

Hi,

 

ich kann mir nur vorstellen das die Antwort vom w2ks geblockt wird. Kann das sein?

[tom12 10]

Hi,

an welchem Interface ist die access-list gebunden?

Ich denk mal am WAN Interface in incomig.

 

Dann sollte folgende ACL funktionieren:

access-list 100 permit udp host <DNS-Provider> eq 53 host <deine WAN IP>

 

Ich kenn mich mit DNS nicht so aus.. DNS-Zonentransfers gehen über TCP, also ev. noch:

 

access-list 100 permit tcp host <DNS-Provider> eq 53 host <deine WAN IP>

 

 

Wenns nicht klappt mach am Ende der ACL noch:

access-list 100 deny ip any any log

 

Dann bekommst du auf der Console die Meldung für jedes geblockte IP Paket.

 

Grüsse

Thomas

[0815user 10]

hallo zusammen,

 

erstmal danke fuer euren input.

 

@scooby:

also traffic nach draussen sollte eigentlich uneingeschraenkt moeglich sein, da die acl nur am wan interface auf IN aktiv ist.

 

@tom12:

werde das mal testen insbesondere mit dem loggen. haette ich ja auch drauf kommen koennen, abber wenn man nicht tagtaeglich mit routern arbeitet, vergisst man schonmal was man im ccna gelernt hat.

 

mfg

0815user