cisco803 10 Geschrieben 14. August 2004 Melden Teilen Geschrieben 14. August 2004 Hallo, ich habe vor einigen Tagen mal angefangen mich mit dem Thema Cisco etwas genauer zu beschäftigen. Ich benutze einen Router Cisco 803 mit dem IOS: IOS C800 Software (C800-K8OSY6-MW), Version 12.2(13)T eingerichtet habe ich darauf folgendes: - lokales Netzerk mit vergabe von DHCP-Adressen - 192.168.12.0 - DSL Einwahl über vpdn und pppoe - später soll es mal möglich sein von außen per ISDN eine Einwahl auf diesem Router zu ermöglichen und auch über diese Einwahl den DSL Zugang zu nutzen (ansatzweise Dialer2) - außerdem sind halt die pots eingerichtet + rcapi (funktioniert auch) Woran ich nun gescheitert bin ist das Einrichten der Access-Lists - bzw. Firewall. Wenn ich die Config mit den ACL's so wie ich es mir vorstellte startete konnte ich leider gar nicht mehr mit dem I-Net kommunizieren. Deshalb frage ich ganz unbeleckt, wie sollten entsprechende Access-Lists aussehen? aktuelle Config: ! version 12.2 no service pad service timestamps debug uptime service timestamps log uptime service password-encryption ! hostname "AI-NET-RAS" ! boot system flash c800-k8osy6-mw.122-13.T.bin enable secret 5 XXX ! username master password 7 XXX ! dial-peer voice 1 pots no caller-id no forward-to-unused-port no call-waiting ring 0 no silent-fax registered-caller ring 1 port 1 volume 3 destination-pattern yyy ! dial-peer voice 2 pots no caller-id no forward-to-unused-port no call-waiting ring 0 no silent-fax registered-caller ring 1 port 2 volume 3 ! pots country DE ! ip subnet-zero ip dhcp excluded-address 192.168.12.1 192.168.12.49 ip dhcp excluded-address 192.168.12.60 192.168.12.254 ! ip dhcp pool 1 network 192.168.12.0 255.255.255.0 domain-name AI-HOMEZONE default-router 192.168.12.100 dns-server 62.104.191.241 ! no ip domain lookup ip name-server 194.25.2.129 vpdn enable ! vpdn-group 1 request-dialin protocol pppoe ip mtu adjust ! isdn switch-type basic-net3 ! ! ! ! interface Ethernet0 description connected to AI-HOMEZONE ip address 192.168.12.100 255.255.255.0 ip nat inside ip tcp adjust-mss 1452 pppoe enable pppoe-client dial-pool-number 1 no keepalive ! interface BRI0 description connected to Dial-inPCs(ISDN),Internet no ip address encapsulation ppp dialer pool-member 2 isdn switch-type basic-net3 isdn voice-priority 30602 out always isdn voice-priority 30602 in always isdn voice-priority 30415 out always isdn voice-priority 30415 in always isdn incoming-voice modem ! interface Dialer1 description T-DSL - Anschluss ip address negotiated ip mtu 1492 ip nat outside encapsulation ppp ip tcp adjust-mss 1452 no ip mroute-cache dialer pool 1 dialer-group 1 no cdp enable ppp authentication pap callin ppp pap sent-username XXX ! interface Dialer2 description connected to Dial-inPCs(ISDN) ip address 10.0.0.1 255.255.0.0 ip nat inside encapsulation ppp no ip split-horizon dialer pool 2 dialer remote-name Dial-inPCs(ISDN) dialer-group 1 peer default ip address pool AI-NET-RAS-Group-2 no cdp enable ppp authentication chap pap callin ppp multilink ! router rip version 2 passive-interface Dialer1 network 10.0.0.0 network 192.168.12.0 no auto-summary ! ip local pool AI-NET-RAS-Group-2 10.0.0.10 10.0.0.11 ip nat inside source list 1 interface Dialer1 overload ip classless ip route 0.0.0.0 0.0.0.0 Dialer1 no ip http server ip pim bidir-enable ! ! access-list 1 permit 192.168.12.0 0.0.0.255 access-list 1 permit 10.0.0.0 0.0.255.255 access-list 120 permit ip any any dialer-list 1 protocol ip list 120 ! snmp-server engineID local 0000000902000050737787C4 snmp-server community public RO snmp-server enable traps tty ! line con 0 exec-timeout 0 0 password 7 XXX login stopbits 1 line vty 0 4 password 7 XXX login ! rcapi server port 2578 ! rcapi number YYY rcapi number YYY ! end Zitieren Link zu diesem Kommentar
corc 10 Geschrieben 14. August 2004 Melden Teilen Geschrieben 14. August 2004 Hi, ich verwende reflexive Accesslisten. Reflexive Accesslisten erlauben für jede ausgehende Verbindung die entsprechenden Rückpakete: interface Dialer10 description DIALER PROFILE: INTERNET DSL ... ip access-group ACL_Internet_IN in ip access-group ACL_Internet_OUT out ... ip access-list extended ACL_Internet_IN evaluate REFLECT_ACL_Internet permit esp any any permit udp any any eq isakmp deny tcp any 172.16.73.0 0.0.0.255 range 0 65535 deny udp any 172.16.73.0 0.0.0.255 range 0 65535 deny ip any 172.16.73.0 0.0.0.255 log-input permit udp host 192.53.103.103 any eq ntp permit udp host 192.53.103.104 any eq ntp remark AGE OF EMPIRES/DIRECTX/ZONE permit tcp any any eq 6667 permit tcp any any eq 2000 permit udp any any eq 2000 permit tcp any any eq 47624 permit udp any any range 2300 2400 permit tcp any any range 2300 2400 permit tcp any any range 28800 29000 remark ALLOW FTP permit tcp any eq ftp-data any remark INCOMING ICMP RULES permit icmp any any ttl-exceeded permit icmp any any echo-reply deny icmp any any log deny tcp any any range 0 65535 log deny udp any any range 0 65535 log deny ip any any log ip access-list extended ACL_Internet_OUT deny udp any range 135 netbios-ss any log deny tcp any range 135 139 any log deny udp any eq 445 any log deny tcp any eq 445 any log deny udp any any range 135 netbios-ss log deny tcp any any range 135 139 log deny udp any any eq 445 log deny tcp any any eq 445 log permit ip any any reflect REFLECT_ACL_Internet Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 14. August 2004 Melden Teilen Geschrieben 14. August 2004 Hallo, würdest du bitte deine Signatur Boardregel-konform einrichten (4 Zeilen, keine Links): http://www.mcseboard.de/rules.php?s=#nr15 Vielen Dank Zitieren Link zu diesem Kommentar
corc 10 Geschrieben 14. August 2004 Melden Teilen Geschrieben 14. August 2004 Hallo, stimmt, Du hast recht. Sieht gleich viel übersichtlicher aus. Gruß, corc. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.