1603 wählt immer ins Internet

[MasterMind 10]

Hallo,

 

ich versuche einen 1603er dazu zu bringen, NUR bei HTTP, FTP, POP3 ins Internet wählt. Eventuell auch noch nur von einigen IP's aus. Das Problem ist jetzt nur, das der Router in einem reinen Microsoft Netzwerk betrieben werden soll und er durch Broadcasts immer wieder einen B-Kanal auf macht. Ich habe mal die Konfig mit gepostet mit der Hoffunung, das mir jemand weiterhelfen kann....

Vielen Dank schon mal im vorraus.

MM

 

-------------------------------------------------------------------------------

!

version 12.0

service timestamps debug uptime

service timestamps log uptime

!service password-encryption

!

hostname Gatebug

!

no logging console

enable password password

!

ip subnet-zero

!ip name-server DNS-Server-IP

isdn switch-type basic-net3

!

!

!

interface Ethernet0

description connected to EthernetLAN

ip address 192.168.1.1 255.255.255.0

no ip directed-broadcast

ip nat inside

!

interface BRI0

description connected to Internet

no ip address

no ip directed-broadcast

ip nat outside

encapsulation ppp

dialer rotary-group 1

isdn switch-type basic-net3

no cdp enable

!

interface Dialer1

description connected to Internet

ip address negotiated

no ip directed-broadcast

ip nat outside

encapsulation ppp

no ip route-cache

no ip split-horizon

no ip mroute-cache

dialer in-band

dialer idle-timeout 120 either

dialer string number-to-call

dialer hold-queue 10

dialer load-threshold 80 either

dialer-group 1

no cdp enable

ppp authentication chap pap callin

ppp chap hostname dial-in-username

ppp chap password password

ppp pap sent-username username password password

ppp multilink

!

router rip

version 2

passive-interface Dialer1

network 192.168.1.0

no auto-summary

!

ip nat inside source list 1 interface Dialer1 overload

ip classless

ip route 0.0.0.0 0.0.0.0 Dialer1

!

access-list 1 permit 192.168.1.0 0.0.0.255

access-list 102 deny udp any eq netbios-dgm any

access-list 102 deny udp any eq netbios-ns any

access-list 102 deny udp any eq netbios-ss any

access-list 102 deny udp any range snmp snmptrap any

access-list 102 deny udp any range bootps bootpc any

access-list 102 deny tcp any eq 137 any

access-list 102 deny tcp any eq 138 any

access-list 102 deny tcp any eq 139 any

access-list 121 deny udp any eq netbios-dgm any

access-list 121 deny udp any eq netbios-ns any

access-list 121 deny udp any eq netbios-ss any

access-list 121 deny tcp any eq 137 any

access-list 121 deny tcp any eq 138 any

access-list 121 deny tcp any eq 139 any

access-list 121 permit udp any any eq domain

access-list 121 permit tcp any any eq www

access-list 121 permit tcp any any eq ftp

access-list 121 permit tcp any any eq 22

access-list 121 permit tcp any any eq smtp

access-list 121 permit tcp any any eq pop3

access-list 121 permit icmp any any

dialer-list 1 protocol ip permit

!

line con 0

exec-timeout 0 0

password password

login

transport input none

line vty 0 4

password password

login

!

end

--------------------------------------------------------------------------------

[Frank04 10]

Broadcasts glaube ich nicht, ist doch ein Router und der sollte eigentlich keine Broadcasts routen.

 

Eher tippe ich auf Filesharing-Tools alla Kazaa, e-mule.

 

Wenns nicht so viele IP-Adresse sind, kannst Du ja auf jeden Falle eine entsprechende ACL schreiben...testweise.

[MasterMind 10]

Hallo Frank04,

 

zur Zeit ist nur Rechner mit dem Router verbunden und der hat 100%ig kein Filesharing Tool drauf. Ich vermute, das es eventuell am public DNS ist, der auf dem Client eingetragen ist. Bin mir aber nicht sicher...

[scooby 10]

Hi,

 

folgende ACL sind in dem Router schon drin.

 

heißt im Klartext erlaubt ist DNS FTP Mail www ICMP traffic ist erlaubt.

 

access-list 121 deny udp any eq netbios-dgm any

access-list 121 deny udp any eq netbios-ns any

access-list 121 deny udp any eq netbios-ss any

access-list 121 deny tcp any eq 137 any

access-list 121 deny tcp any eq 138 any

access-list 121 deny tcp any eq 139 any

access-list 121 permit udp any any eq domain

access-list 121 permit tcp any any eq www

access-list 121 permit tcp any any eq ftp

access-list 121 permit tcp any any eq 22

access-list 121 permit tcp any any eq smtp

access-list 121 permit tcp any any eq pop3

access-list 121 permit icmp any any

___________________________________

dialer-list 1 protocol ip permit

___________________________________

 

jetzt sagst du einfach no dialer-list 1 protocol ip permit

und dann sagst du dialer-list 1 protcol ip list 121

 

Jetzt kann nur Traffic oben genannt den Dailer antriggern bzw. den Idle-Timer wieder zurücksetzten. Wenn jetzt irgendwelche anderen Accpilcation in Internet wollen passiert nix. bzw der IDLE Timer wird nicht zurückgesetzt.

[MasterMind 10]

Hallo scooby,

 

Jetzt hat der Router gar nichst mehr gemacht. Nicht einmal einen ping vom router selber !

Ich habe dann noch folgendes gemacht:

access-list 1 permit 192.168.1.35 0.0.0.0

dialer-list 1 protocol ip list 121

Damit wollte ich das nur die eine IP den Router aktivieren kann. Jetzt funktioniert es zwar ABER er fängt wieder an, sporadisch einen Kanal auf zu bauen mit dem Dial reason: ip (192.168.1.35, d=213.61.0.35). Die public ip ist ein dns server den ich am pc eingetragen habe. Das einzige was auf dem pc aktiv ist, ist ein Terminal zum router und ein Virenscanner der aber auf den Master im internen Netz verweist....

Was könnte noch falsch sein ?

[scooby 10]

Hi,

 

verstehe ich nicht warum der Router nicht einfach loswählt wenn man die Access-Listen bearbeitet. Mach folgendes:

no access-list 121

dann gibst du die Access-Listen nocheinmal neu ein:

access-list 121 permit udp any any eq domain

access-list 121 permit tcp any any eq www

access-list 121 permit tcp any any eq ftp

access-list 121 permit tcp any any eq 22

access-list 121 permit tcp any any eq smtp

access-list 121 permit tcp any any eq pop3

access-list 121 permit icmp any any

 

Danach öffnest du den Internet Explorer und versuchst einmal auf eine Internetseite zuzugreifen

Wenn es dann immernoch nicht geht poste nocheinmal dein sh run.

[MasterMind 10]

Hi scooby,

 

super vielen Dank für deine Hilfe und auch Geduld !!!!

Der Router wählt wieder... Das einzige was ich noch nicht herausfinden konnte ist, warum er einen Kanal aufbaut, wenn der PC hoch.- bzw. runter fährt ???

Könntest Du mir vieleicht noch verraten, wie man nur bestimmten IP Adressen erlauben kann, die den Router benutzen dürfen ?

 

Wenn diese zwei Dinge gelöst sind, habe ich meinen wunsch Router zusammen !

 

Vielen Dank nochmal für deine Hilfe

MM

 

P.S. Nachtrag: Habe rausgefunden, das MS xp beim hoch.- bzw. runter ´fahren und während dem Betrieb eine DNS Anfrage macht. Somit wird immer ein Kanal geöffnet. Habe jetzt die access-list domain entfernt und es wird ruhiger. Muss halt jetzt immer nen Ping auf ne public IP machen, damit ich surfen kann... Kennt jemand ne bessere Lösung ?

[scooby 10]

Hi,

 

bestimmte IP-Adressen erlauben bzw. verbiete ist relativ einfach.

Zur Zeit hast du folgenden Spruch drin:

access-list 121 permit tcp any any eq www

die zwei Sprüche any any mußt du bearbeiten. Das erste any steht für die Source das nächste any steht für die destination. Heißt du löschst die access-liste 121 wieder und sagst dann z.b.

access-list 121 permit 192.168.1.1 0.0.0.255 any eq www

Heißt alle Ip-Adressen aus dem Bereich 192.168.1.1 -192.168.1.254 dürfen mit einem port 80 den dailer aktivieren. Alle anderen IP-Adressen haben keinen match und können aus diesem Grunde den dailer nicht anstoßen.

 

Wieso macht der eine DNS-Anfrage. Welchen DNS-Namen will er auflösen? Dann könnte man diesen Namen in der host Datei vom Windows eintragen und im Router diese IP-Adresse blocken bzw. eine private Adresse daraus machen das der Router diese nicht routed. Soll heißen

192.168.1.1 DNS-Namen

 

Dann würde der PC seine Daten an DNS-Namen an 192.168.1.1 schicken.

 

Wenn du dir das mit dem ping ersparen möchtest müßte es auch funktionieren wenn du die IP-Adresse von deiner Standart-Internet Seite nach oben gezeigtem Beispiel in der LSThost unterbringst. So started der keine DNS-Request sondern nimmt aus der host die IP-Adresse.

216.239.57.104 http://www.google.de

oder du trägst als startseite deines Internet-Explorer nicht den DNS-Namen ein sondern die IP-Adresse.

Eine andere möglichkeit ist du startest dein Mail-Program. In der Access-Listet steht pop3 und snmtp aktiviert den dailer. Das würde auch funktionieren.

ich hoffe du verstehst was ich meine.

Vielleicht weiß irgendjemand im Forum was der da genau für ein DNS-Request losschickt und wie man den ausschalten kann.

[MasterMind 10]

Hi,

 

das mit dem DNS hat sich geklärt. Und zwar habe ich zuhause ein kleines Netzwerk mit Active Directory und der PC ist Mitglied dieser Domäne. Somit will er immer wieder mit dem DC Kontakt aufnehmen. Ich habe jetzt als primären DNS den DC eingetragen und als sekundären den public DNS, somit ist alles wieder in Butter und funktioniert dank deiner Hilfe alles so wie es soll. Nochmals vielen Dank !

Was ich noch machen wollte ist, das ich nur bestimten IP Adressen den Zugriff über den Router erlaube möchte, z.B. 192.168.1.5, 192.168.1.8 und 192.168.1.10. Mit deiner Lösung würde ich ja dem gesamten Netz den Zugriff erlauben. Bin mir nicht sicher, ob das so möglich ist. Damit will ich erreichen, das der DC z.B. keine DNS Anfragen an den Router schickt und der gleich einen Kanal aufbaut sondern erlaubt sein sollen nur die 3 Clients.

Für einen Tipp wäre ich wieder sehr dankbar.

[scooby 10]

Hi,

 

dann werden dieStatemants ein bischen gößer. Bedeutet:

access-list 121 permit udp host 192.168.1.5 any eq domain

access-list 121 permit tcp host 192.168.1.5 any eq www

access-list 121 permit tcp host 192.168.1.5 any eq ftp

access-list 121 permit tcp host 192.168.1.5 any eq 22

access-list 121 permit tcp host 192.168.1.5 any eq smtp

access-list 121 permit tcp host 192.168.1.5 any eq pop3

access-list 121 permit icmp host 192.168.1.5 any

und dann die access-liste 121 so weiter bearbeiten für jeden host den du es erlauben möchstest das es ihm erlaubt wird die Verbindung aufzubauen.

 

Dir ist aber bewußt wenn eine Internet-Verbindung besteht können alle anderen Cleint auch surfen, solange der IDLE-Timer von den Clients die in derAccss-Listet 121 erwähnt sind wieder erneuert werden. Wenn irgendwann einmal ein Client aus der Access-Liste 121 aufhört zu surfen wird der Idle-Timer nicht wieder zurückgesetzt und der CLient der nicht in der Access-Liste 121 erwähnt ist kann dann auch nicht mehr surfen.