xyCruiseryx 10 Geschrieben 8. September 2004 Melden Teilen Geschrieben 8. September 2004 Beispiel 10.1: Standard-ACL, um Verkehr zu blockieren, der nicht 172.16.0.0 ist Router( config )# access-list 1 permit 172.16.0.0 0.0.255.255 Router( config )#interface ethernet 0 Router( config-if )#ip access-group 1 out Router( config )#interface ethernet 1 Router( config-if )#ip access-group 1 out Alle Access-Listen enden mit der Aussage “Stillschweigend alle ablehnen”. Verkehr, der den ersten beiden Oktetten der Netzwerkadresse 172.16.0.0 nicht entspricht, wie in Beispiel 10.1, wird zur unsichtbaren Aussage “Stillschweigend alle ablehnen” weitergeleitet. Die Richtung der Liste in Beispiel 10.1 ist eindeutig als Ausgang festgelegt. Wird vergessen eine Richtung zu bestimmen, ist die Voreinstellung immer out. Die folgende Liste hebt Hauptparameter der in Beispiel 10.1 dargestellten ACL hervor: 1 ist die ACL-Nummer, die anzeigt, dass es eine Standardliste ist. permit bedeutet, dass Verkehr, der den gewählten Parametern entspricht, weitergeleitet werden wird. 172.16.0.0 ist die IP-Adresse, die mit der Platzhaltermaske genutzt wird, um das Quellnetzwerk anzugeben. 0.0.255.255 ist die Platzhaltermaske. Nullen zeigen Positionen an, die abgeglichen werden müssen; Einsen bedeuten nicht zu beachtende Positionen. ip access-group 1 out bindet die Access-Liste an ein Interface als Ausgangsfilter. Frage : Es heisst hier : ip access-group 1 out auf dem eth0 sowohl auch auf dem eth 1 Das heisst doch. Alles was aus dem Lan in Richtung Router möchte richtig ?? Warum schneidet man dem restlichen Netz nicht schon auf der Serial0 den weg ab. BSP: Ip access-group 1 in auf dem serial0 ich meine damit das die anfragen aus dem 172.16.0.0 Netzt die nicht geroutet werden sollen erst garicht ans e0 und e1 gelangen ?? Oder kann man das auf dem Interface Blocken wie mans gern hat ??? Hillfeeee ich seh nicht mehr durch.... ;) Zitieren Link zu diesem Kommentar
mtf 10 Geschrieben 10. September 2004 Melden Teilen Geschrieben 10. September 2004 Du machst Access-listen für ein verkehr zu blocken! 1. gibt es zwei arten von ALC standart und erweitert Standart ist, du gibst per ALC ein sender frei erweitert ist, du gibst per ALC ein sernder zu enpfänger per protokoll tcp 80 frei beispiel: access-list 1 permit 172.16.3.0 0.255.255.255 hier gibst du verkehr vom netz 172.16.3.0 frei als sender access-list 100 permit tcp 172.16.3.0 0.255.255.255 any eq 80 hier gibst du verkehr vom netz 172.16.3.0 nach any frei mit port 80 = http Damit das ganze auch funktioniert musst du das noch auf (ein) interface binden interface ethernet 1 ip access-group 1 out Binde die ACL nur auf ein interface, das ist wichtig! Du kannst auch die ACL auf das in interface binden interface ethernet 1 ip access-group 100 in dann musst du aber auch die ALC anpassen access-list 100 permit tcp any eq 80 172.16.3.0 0.255.255.255 hier gibst du verkehr vom netz 172.16.3.0 nach any frei mit port 80 = http Alles klar? Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.