snajo 10 Geschrieben 10. Februar 2005 Melden Teilen Geschrieben 10. Februar 2005 Hi Leute, folgendes Problem: Ich möchte bei meinem Cisco 2600 Router (IOS Version 12.3) ein Internet Verbindung aufbauen, den Zugang zum www, ftp, smtp, pop3, https und echo jedoch nur einer ausgewählten IP (10.1.1.123) gestatten. Meine running-config sieht wie folgt aus: ! version 12.3 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname Access ! boot-start-marker boot-end-marker ! ! no network-clock-participate slot 1 no network-clock-participate wic 0 no aaa new-model ip subnet-zero ip cef ! ! ! vpdn enable ! vpdn-group 1 request-dialin protocol pppoe ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! interface FastEthernet0/0 ip address 10.1.1.1 255.255.255.0 ip nat inside duplex auto speed auto ! interface Serial0/0 no ip address shutdown ! interface FastEthernet0/1 no ip address ip access-group 100 in ip nat outside ip tcp adjust-mss 1452 duplex auto speed auto pppoe enable pppoe-client dial-pool-number 1 ! interface Serial0/1 no ip address shutdown ! interface Serial1/0 no ip address shutdown ! interface Serial1/1 no ip address shutdown ! interface Serial1/2 no ip address shutdown ! interface Serial1/3 no ip address shutdown ! interface Dialer1 ip address negotiated ip access-group 100 in ip mtu 1492 ip nat outside encapsulation ppp ip tcp adjust-mss 1452 no ip mroute-cache dialer pool 1 dialer-group 1 no cdp enable ppp authentication pap callin ppp pap sent-username xxxxxxxxxxxxxxxxxxxxxxxxxxxx#0001@t-online.de password 0 xxxxxxxx ! ip nat inside source list 1 interface Dialer1 overload ip http server ip classless ip route 0.0.0.0 0.0.0.0 Dialer1 ! ! access-list 100 permit icmp 10.1.1.123 0.0.0.0 any echo-reply access-list 100 permit tcp 10.1.1.123 0.0.0.0 any established access-list 100 permit udp 10.1.1.123 0.0.0.0 eq domain any access-list 100 permit tcp 10.1.1.123 0.0.0.0 any eq 3000 access-list 100 permit tcp 10.1.1.123 0.0.0.0 any eq 3001 access-list 100 permit tcp 10.1.1.123 0.0.0.0 eq ftp-data any access-list 101 permit tcp 10.1.1.123 0.0.0.0 any eq www access-list 101 permit udp 10.1.1.123 0.0.0.0 any eq domain access-list 101 permit tcp 10.1.1.123 0.0.0.0 any eq pop3 access-list 101 permit tcp 10.1.1.123 0.0.0.0 any eq smtp access-list 101 permit tcp 10.1.1.123 0.0.0.0 any eq 443 access-list 101 permit tcp 10.1.1.123 0.0.0.0 any eq 3000 access-list 101 permit tcp 10.1.1.123 0.0.0.0 any eq 3001 access-list 101 permit tcp 10.1.1.123 0.0.0.0 any eq ftp-data access-list 101 permit tcp 10.1.1.123 0.0.0.0 any eq ftp access-list 101 permit icmp 10.1.1.123 0.0.0.0 any eq echo dialer-list 1 protocol ip permit ! ! ! ! ! ! ! line con 0 line aux 0 line vty 0 4 login ! ! end Trotz der extended Access-List ist es allen Rechnern im Lan möglich die Freuden des WWWs zu genießen. Wenn ich mit deny einer bestimmten IP ein Protokoll verbiete, so wirkt sich das sofort auf das gesamte LAN aus. Da ich mit meinem Latein am Ende bin bitte ich euch um Rat. Zitieren Link zu diesem Kommentar
tom12 10 Geschrieben 10. Februar 2005 Melden Teilen Geschrieben 10. Februar 2005 Hi, die Access list am Dialer-Interface musst du in OUT setzen: ip access-group 100 OUT Grüsse Thomas Zitieren Link zu diesem Kommentar
maho 10 Geschrieben 14. Februar 2005 Melden Teilen Geschrieben 14. Februar 2005 Hi, die ACL 101 ist entscheidend. Die hast Du auf keinem Internface gebunden. Wenn Du auf interface FastEthernet0/0 eingibst: ip access-group 101 in sollte das funktionieren. viel spass maho Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.