Schon wieder Access-Lists

[Werner 10]

Hallo zusammen,

ich habe mal wieder riesige Probleme mit der Access List von einem Cisco 826.

Nach einem Firewall Test ist der Cisco offen wie ein Scheunentor, und das muss ja nicht sein.

 

1. Was besagt die access list 23......denn sie ist auf keiner Schnittstelle gebunden

2. Und wo kommen die Einträge ....ip inspect name myfw cuseeme timeout 3600.......

her, und was bedeuten sie.

Kann mir vielleicht einer mal eine Access List posten mit der der Ciso einigermassen sicher ist ?

Ich will nur mit einem Rechner ( z.B. 10.10.10.2 ) mit http,ftp,dns,pop3,smtp ins Internet...

...mehr eigentlich nicht.

 

Ach ja und was bedeutet.....dialer-list 1 protocol ip permit

 

Ich bin nämlich noch sehr neu auf dem Cisco Gebiet und deshalb durchblicke ich die Access-List noch nicht.

Für eure Hilfe schon mal vielen Dank

 

version 12.2

no service pad

service timestamps debug uptime

service timestamps log uptime

service password-encryption

!

hostname cisco826

!

no logging buffered

enable secret xxxxxxxxxxxxxxxxxxxxxxxxxxxxx

!

username cisco826 password 7 xxxxxxxxxxxxxxxx

username admin password 7 xxxxxxxxxxxxxxxxxxxxxxxxxxx

ip subnet-zero

ip name-server 217.237.151.33

ip name-server 217.237.149.225

ip dhcp excluded-address 10.10.10.1

!

ip dhcp pool CLIENT

import all

network 10.10.10.0 255.255.255.0

default-router 10.10.10.1

lease 0 2

!

ip inspect name myfw cuseeme timeout 3600

ip inspect name myfw ftp timeout 3600

ip inspect name myfw rcmd timeout 3600

ip inspect name myfw realaudio timeout 3600

ip inspect name myfw smtp timeout 3600

ip inspect name myfw tftp timeout 30

ip inspect name myfw udp timeout 15

ip inspect name myfw tcp timeout 3600

ip inspect name myfw h323 timeout 3600

vpdn enable

!

vpdn-group 1

request-dialin

protocol pppoe

ip mtu adjust

!

!

!

!

interface Ethernet0

ip address 10.10.10.1 255.255.255.0

ip nat inside

ip tcp adjust-mss 1452

hold-queue 100 out

!

interface ATM0

no ip address

atm vc-per-vp 64

no atm ilmi-keepalive

pvc 1/32

pppoe-client dial-pool-number 1

!

dsl operating-mode annexb-ur2

!

interface Dialer1

ip address negotiated

ip access-group 111 in

ip mtu 1492

ip nat outside

ip inspect myfw out

encapsulation ppp

ip tcp adjust-mss 1452

dialer pool 1

dialer remote-name redback

dialer-group 1

ppp authentication pap chap callin

ppp chap hostname

ppp chap password p xxxxxxxxxxxxxxxx

ppp pap sent-username xxxxxxxxxxxxxxxxxxxx

ppp ipcp dns request

ppp ipcp wins request

!

ip nat inside source list 102 interface Dialer1 overload

ip classless

ip route 0.0.0.0 0.0.0.0 Dialer1

ip http server

!

!

access-list 23 permit 10.10.10.0 0.0.0.255

access-list 102 permit ip 10.10.10.0 0.0.0.255 any

dialer-list 1 protocol ip permit

!

line con 0

exec-timeout 120 0

stopbits 1

line vty 0 4

access-class 23 in

exec-timeout 120 0

login local

length 0

!

scheduler max-task-time 5000

end

 

cisco826#

[Gentleman 10]

1. Was besagt die access list 23......denn sie ist auf keiner Schnittstelle gebunden

 

Sie ist auf der VTY gebunden. In diesem Fall heißt das, dass nur User aus dem 10.10.10.0 /24 Netz Zugang zum Router haben um ihn zu konfigurieren.

___

 

2. Und wo kommen die Einträge ....ip inspect name myfw cuseeme timeout 3600....... her, und was bedeuten sie.

 

Da bin ich mir nicht ganz sicher... Meiner Meinung nach ist das irgendeine Firewall Funktion vom Router die bestimmte Protokolle nach einer gewissen Zeit killt. Das ist aber nur eine Vermutung.

___

 

Kann mir vielleicht einer mal eine Access List posten mit der der Ciso einigermassen sicher ist ? Ich will nur mit einem Rechner ( z.B. 10.10.10.2 ) mit http,ftp,dns,pop3,smtp ins Internet...

 

access-list 101 permit ip 10.10.10.2 0.0.0.0 any

access-list 101 permit ip any 10.10.10.2 0.0.0.0

___

 

Ach ja und was bedeutet.....dialer-list 1 protocol ip permit

 

Die Dialer List spezifiziert den Traffic, der eine Einwahl zum Provider auslösen kann, sogenannter "interesting traffic". In deinem Fall ist das sozusagen jedes IP Paket.