steffen3379 10 Geschrieben 17. März 2004 Melden Teilen Geschrieben 17. März 2004 hallo kann man die dns server adresse autom. zuweisen lassen beim cisco 803?? habe ständig das prob. das der dns von freenet ab 21 uhr überlastet ist und nur seiten langsam öffnet!! mfg Zitieren Link zu diesem Kommentar
scooby 10 Geschrieben 18. März 2004 Melden Teilen Geschrieben 18. März 2004 Hi, ich glaube nicht das es der DNS-Server ist. Das wird das Netzwerk von Freenet sein. Der DNS Server ist nur dafür da um die Namensauflösung zur IP Auflösung zu machen. Selbst wenn dann stelle an deinen Clients einen manuel einen DNS Server ein. Und du wirst sehen das die Zeiten sich nicht verbessern. Anbei mal 2 andere DNS Server 194.25.2.129 194.25.2.133 Zitieren Link zu diesem Kommentar
steffen3379 10 Geschrieben 19. März 2004 Autor Melden Teilen Geschrieben 19. März 2004 hi scooby ich versuche es mal habe aber immernoch prob. mit meinen access listen hättest du mal eine gut funktionierende liste? und würdest die befehle mal kurz erklären wär echt nett ich habe mal aus verschiedenen listen die ich hier gefunden habe eine zusammengestellt aber so richtig läuft es noch nicht!! wenn ich z.b. irgendwelche java anwendungen habe dann setzt das meinen idle-timer nicht zurück! hier mal meine liste: map-class dialer DialClass access-list 18 permit 192.168.100.0 0.0.0.255 access-list 100 permit icmp any any echo-reply access-list 100 permit tcp any any established access-list 100 permit udp any eq domain any access-list 101 permit tcp any any eq www access-list 101 permit tcp any any eq ftp access-list 101 permit tcp any any eq smtp access-list 101 permit tcp any any eq pop3 access-list 101 permit tcp any any eq 4662 access-list 101 permit tcp any any eq 443 access-list 101 permit udp any any eq domain dialer-list 1 protocol ip list 101 was hat es eigentlich mit den nummern der listen aufsich?? Zitieren Link zu diesem Kommentar
mr._oiso 10 Geschrieben 22. März 2004 Melden Teilen Geschrieben 22. März 2004 Hallo steffen3379 Sorry scooby, das hier ist sicherlich Dein Fall ! Aber zum Thema Access-Listen: Die Nummer in den Access-listen bestimmen den Protokoll-Typ Eine Access-List 18 z.B. ist eine Standard IP List. Diese Nummern Range (1-99) bedäutet soviel wie Protokoll-Typ IP und meint damit den kompletten IP Bereich (TCP,ICMP,UDP.......etc) (Typ 0-255) In einer Standard IP Liste kannst du nur festhalten, wer mit wem via IP kommunizieren darf ! Source to Destination Wobei es (Host to Netz) (Netz to Netz) oder (Host to Host) sein kann. In einer Liste mit der Nummer (100-199) def. Du eine extended IP Access-List. In einer solchen Liste kannst und solltest Du den IP Traffic genauer def.. Hier ist es nun möglich den IP-Typ zu konfigurieren (protocol Nummer 0-255 oder Name udp,tcp,igrp...etc) MHO2620(config)#access-list 123 permit ? <0-255> An IP protocol number ahp Authentication Header Protocol eigrp Cisco's EIGRP routing protocol esp Encapsulation Security Payload gre Cisco's GRE tunneling icmp Internet Control Message Protocol igmp Internet Gateway Message Protocol igrp Cisco's IGRP routing protocol ip Any Internet Protocol ipinip IP in IP tunneling nos KA9Q NOS compatible IP over IP tunneling ospf OSPF routing protocol pcp Payload Compression Protocol pim Protocol Independent Multicast tcp Transmission Control Protocol udp User Datagram Protocol MHO2620(config)#access-list ? <1-99> IP standard access list <100-199> IP extended access list <1100-1199> Extended 48-bit MAC address access list <1300-1999> IP standard access list (expanded range) <200-299> Protocol type-code access list <2000-2699> IP extended access list (expanded range) <700-799> 48-bit MAC address access list dynamic-extended Extend the dynamic ACL abolute timer rate-limit Simple rate-limit specific access list Zusätzlich aber immernoch any any oder source to destination und die entsprechenden Ports. Wie z.B. "access-list 101 permit tcp any any eq 4662" Hier erlaubst Du jedem mit (jedem Ziel) eine tcp Verbindung auf eMule Server Port 4662 Oder "access-list 101 permit udp any any eq domain" Hier erlaubst Du jedem eine DNS Server Anfrage ! Hier "access-list 100 permit udp any eq domain any" würdest Du z.B. Deinem DNS Server erlauben jedem eine Anfrage zu Beantworten (source Port 53) Zum Schluß mußt Du nur noch die Access-List mit der entsp. Nr. an Deine Interfaces verteilen. z.B. mit dem Command ip access-group 101 in/out ! an Dein ethernet interface 0 ! Wobei in oder out die Richtung definiert. Anders ist es bei einer "dialer-list 1 protocol ip list 101" Die "dialer-list 1" ist immer Deiner "Dialer-group 1" zugeordnet. Ebenso "dialer-list 2" zu "Dialer-group 2" usw. Die in diesem Command verwendete Liste 101 def. sie nur näher. Die Dialer-List hat nämlich die Aufgabe über den Security-effect hinaus Dein Bri int zu triggern. Das heißt, der in dieser Liste def. Traffic kann den idle-timer zurücksetzen. Aber nur dieser ! So müßtes Du hier Deine Java Anwendung bezüglich der benutzen tcp/udp Ports mit einbringen, damit Dir die Verbindung über den idle-timeout hinaus erhalten bleibt. Was Dein DNS Problem angeht so gebe ich Scooby Recht. In Deiner "access-list 101 permit udp any any eq domain" gibst Du jedem die Möglichkeit die Internetverbindung zu triggern. Eleganter wäre hier die Lösung via DNS Server. Und darüber hinaus dann: access-list 101 permit udp (DNS-Server IP) any eq domain Mit freundlichem Gruß mr._oiso Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.