Rezo 10 Geschrieben 5. November 2004 Melden Teilen Geschrieben 5. November 2004 Hallo :shock: Ich möchte auf einem 1712er access listen erstellen, und zwar mit folgendem hintergrund: es gibt ein netzadmin der überall hin darf, ein mitarbeiter der nur beschränkten zugriff auf das internet hat, also nur die allernötigsten ports offen sind, damit dieser keine dummheiten machen kann und nicht sowas wie icq offen hat oder so. und dann gibt es noch azubis, die nur in das lan dürfen. also für die ip des netzadmins brauch ich ja keine acl zu machen, die für die azubis müsste glaube ich einfach deny ip any IP_von_azubi_pc sein. Das Problem ist jetzt der MItarbeiter mit seinem beschränkten Zugriff. nachdem ich mir ein paar gedanken gemacht habe, habe ich folgendes gefunden was mir sehr sinnvoll vorkam: access-list 100 permit icmp any any echo-reply access-list 100 permit icmp any any packet-too-big access-list 100 permit icmp any any echo access-list 100 permit icmp any any ttl-exceeded access-list 100 permit tcp any any established access-list 100 permit udp any eq domain any access-list 100 permit tcp any any eq www access-list 100 permit tcp any any eq 443 access-list 101 permit udp any any eq domain access-list 101 permit tcp any any eq smtp access-list 101 permit tcp any any eq pop3 access-list 101 permit tcp any any eq www access-list 101 permit tcp any any eq 443 access-list 101 permit tcp any any established access-list 101 deny ip any any 100 ist für inbound 101 ist für outbound wobei das any für ziel-ip ja von mir noch durch die einzelnen ip's der mitarbeiter ausgetauscht werden muss. meint ihr das reicht, ober ist da noch etwas vergessen worden? wäre nett wenn mir jemand helfen könnte. :D :D Zitieren Link zu diesem Kommentar
mtf 10 Geschrieben 5. November 2004 Melden Teilen Geschrieben 5. November 2004 Sieht ganz OK aus! Aber was ist mit FTP Port 21/22 ich würde bei deny noch log hinten anfügen. so kannst du alles sehen was gedropt wird. für dich brauchst du access-list 100 permit ip "deine ip" any mfg mtf Zitieren Link zu diesem Kommentar
Rezo 10 Geschrieben 5. November 2004 Autor Melden Teilen Geschrieben 5. November 2004 für mich? du meinst für den netzadmin der voll auf alles kann und darf? Zitieren Link zu diesem Kommentar
mtf 10 Geschrieben 11. November 2004 Melden Teilen Geschrieben 11. November 2004 Ja, du musst dich auch freischlaten, wenn du mehr willst als die anderen. und wie schon gesagt am schluss access-list 100 deny ip any any log mfg mtf Zitieren Link zu diesem Kommentar
IWS-Germany 10 Geschrieben 11. November 2004 Melden Teilen Geschrieben 11. November 2004 Original geschrieben von mtf und wie schon gesagt am schluss access-list 100 deny ip any any log Anmerkung: Das deny ip any any ist implizit IMMER am Ende einer access-list - hinzufügen würde ich es im Hinblick auf die Performance nur, wenn wirklich ein logging ausgeführt werden soll. Grüße aus Berlin! Zitieren Link zu diesem Kommentar
mtf 10 Geschrieben 19. November 2004 Melden Teilen Geschrieben 19. November 2004 Da hast Du recht. Am schluss ist immer ein Deny any any. Ich will jedoch immer wissen, wenn was gespert ist, damit ich schnel reagieren kann bei einem Fehler oder angriff. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.