EvilFlare 10 Geschrieben 7. Juli 2004 Melden Teilen Geschrieben 7. Juli 2004 Hallo, ich hab mich heute den halben Tag mit Access-Lists rumgeschlagen und hab da nun noch so einige ungeklärte Fragen. Zuerst nun mal meine momentane Config. ! version 12.2 no service pad service timestamps debug datetime msec service timestamps log datetime msec service password-encryption ! hostname Router ! boot system flash c800-k9osy6-mw.122-15.T12.bin logging queue-limit 100 logging buffered 64000 debugging enable secret 5 xxxxx ! ! ! ip subnet-zero ip name-server 194.97.173.125 ip name-server 194.97.173.124 ! vpdn enable ! vpdn-group 1 request-dialin protocol pppoe ip mtu adjust ! isdn switch-type basic-net3 isdn voice-call-failure 0 ! ! ! ! ! ! interface Ethernet0 ip address 192.168.0.1 255.255.255.0 ip nat inside ip tcp adjust-mss 1452 pppoe enable pppoe-client dial-pool-number 1 no keepalive ! interface BRI0 no ip address shutdown isdn switch-type basic-net3 ! interface Dialer1 description T-DSL - Anschluss ip address negotiated ip mtu 1454 ip nat outside encapsulation ppp ip tcp adjust-mss 1452 no ip mroute-cache dialer pool 1 dialer idle-timeout 600 dialer-group 1 no cdp enable ppp authentication chap pap callin ppp chap hostname xxxxx ppp chap password 7 xxxxx ppp pap sent-username xxxxx password 7 xxxxx ! ip nat inside source list 101 interface Dialer1 overload ip nat inside source static udp 192.168.0.4 4680 interface Dialer1 4680 ip nat inside source static tcp 192.168.0.4 1024 interface Dialer1 1024 ip classless ip route 0.0.0.0 0.0.0.0 Dialer1 no ip http server no ip http secure-server ! ! access-list 101 permit tcp 192.168.0.0 0.0.0.255 any eq www access-list 101 permit tcp 192.168.0.0 0.0.0.255 any eq ftp access-list 101 permit tcp 192.168.0.0 0.0.0.255 any eq pop3 access-list 101 permit tcp 192.168.0.0 0.0.0.255 any eq smtp access-list 101 permit udp 192.168.0.0 0.0.0.255 any eq domain access-list 101 permit tcp 192.168.0.0 0.0.0.255 any eq 5190 access-list 101 permit tcp 192.168.0.0 0.0.0.255 any eq 4661 access-list 101 permit tcp 192.168.0.0 0.0.0.255 any eq 4242 access-list 101 permit tcp 192.168.0.0 0.0.0.255 any eq 1024 access-list 101 permit udp 192.168.0.0 0.0.0.255 any eq 4680 access-list 102 permit ip any any dialer-list 1 protocol ip list 102 ! ! line con 0 stopbits 1 line vty 0 4 password 7 xxxxx login ! no rcapi server ! ! end 1. Frage: Hab ich es richtig verstanden, dass ich mittels "ip nat inside source list 101 interface Dialer1 overload" dem Router sage, dass er eine Verbindung aufbauen soll, wenn Traffic anliegt, der mit den Access-Lists 101 übereinstimmen? Aber diese Angaben unter 101 haben doch auch Einfluss darauf, welcher Traffic erlaubt ist, oder? 2. Frage: Ich bekomme es nicht hin, dass der Router nach den eingestellten 600 Sekunden die Verbindung kappt. Auch nicht, wenn ich alle Rechner im LAN abschalte. Woran liegt das? 3. Frage: Was hat es mit "dialer-list 1 protocol ip list 102" auf sich? Sage ich damit dem Router, was alles ins Inet darf? Oder was alles ausm Inet rein darf? 4. Frage Hat wahrscheinlich nicht direkt was mit den Access-Lists zutun. Nach 24 Stunden wird ja vom Provider die Connection gekillt. Wenn das der Fall ist, baut der Router keine neue Verbindung auf. Was kann ich dagegen tun? - - - - - - - Im Gesamten bin ich noch recht verwirrt, wie die ganzen Access-Lists ineinander greifen und wäre euch sehr dankbar, wenn ihr mir da mal auf die Sprünge helfen würdet. Gruß EvilFlare Zitieren Link zu diesem Kommentar
scooby 10 Geschrieben 8. Juli 2004 Melden Teilen Geschrieben 8. Juli 2004 -Hi, ich versuche mal mein Glück und versuche dir deine Fragen zu erklären: 1. Frage: Hab ich es richtig verstanden, dass ich mittels "ip nat inside source list 101 interface Dialer1 overload" dem Router sage, dass er eine Verbindung aufbauen soll, wenn Traffic anliegt, der mit den Access-Lists 101 übereinstimmen? Aber diese Angaben unter 101 haben doch auch Einfluss darauf, welcher Traffic erlaubt ist, oder? -------------------------------------------- Damit wird gesagt welche Traffic von außen nach innen geblockt oder durch gelassen werden soll. ------------------------------------------------------ 2. Frage: Ich bekomme es nicht hin, dass der Router nach den eingestellten 600 Sekunden die Verbindung kappt. Auch nicht, wenn ich alle Rechner im LAN abschalte. Woran liegt das? ----------------------------------------------------------------- Da du dein Statemant: access-list 102 permit ip any any dialer-list 1 protocol ip list 102 wählt der Router einfach los, sobald er ein Interesset Traffic sieht. Soll heißen wenn du z.b. sagst dialer-list 1 protocol ip list 101 dann würde der router nur wählen wenn in der access-list 101 ein statemant passt. ------------------------------------------------------ 3. Frage: Was hat es mit "dialer-list 1 protocol ip list 102" auf sich? Sage ich damit dem Router, was alles ins Inet darf? Oder was alles ausm Inet rein darf? ------------------------------------------------ Siehe oben damit wird gesagt welcher traffic den dialer antiggern soll. ------------------------------------------------- 4. Frage Hat wahrscheinlich nicht direkt was mit den Access-Lists zutun. Nach 24 Stunden wird ja vom Provider die Connection gekillt. Wenn das der Fall ist, baut der Router keine neue Verbindung auf. Was kann ich dagegen tun? ----------------------------------------------- Hat schon etwas mit den access-listen zu tun. wenn kein interesst traffic anliegt wird er keine neue Verbindung aufbauen. Ich hoffe ich konnte ein bischen licht ins dunkel bringen. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.