ck84 10 Geschrieben 22. April 2005 Melden Teilen Geschrieben 22. April 2005 Hi ich hab nochmal eine Frage, ist es möglich z.B dem client auf xxx.xxx.xxx.41 über den Router zu verbieten auf die IP a.b.c.d zuzugreifen? Selbstverständlich ist a.b.c.d in einem anderen netz. ROM: System Bootstrap, Version 12.2(7r) [cmong 7r], RELEASE SOFTWARE (fc1) ROM: C2600 Software (C2600-C-M), Version 12.3(13), RELEASE SOFTWARE (fc2) Zitieren Link zu diesem Kommentar
MYOEY 10 Geschrieben 22. April 2005 Melden Teilen Geschrieben 22. April 2005 Hi, Mithilfe einer access-list kann man sowas machen, konfiguriere mal zuerst die access-list und dann binde sie an die entsprechende Interface! access-list Nr deny Protokoll Quelladresse Zieladresse Gruss MYOEY Zitieren Link zu diesem Kommentar
Wurstbläser 10 Geschrieben 23. April 2005 Melden Teilen Geschrieben 23. April 2005 um es zu ergänzen - unter der Vorraussetzung das EIN Client nicht auf EINE Adresse zugreifen können soll: access-list 100 deny ip host xxx.xxx.xxx.41 host a.b.c.d access-list 100 permit ip any any host xxx.xxx.xxx.41 ist hinter interface ethernet1: interface ethernet1 ip access-group 100 in Bitte eine ACL-Nummer zwischen 100-199 wählen (extended ACL) Gruss Robert Zitieren Link zu diesem Kommentar
ck84 10 Geschrieben 23. April 2005 Autor Melden Teilen Geschrieben 23. April 2005 einen hostname zu blocken geht nicht oder? denn login.icq.com besitzt ja mehrere ips welche alle 45sekunden wechseln .... und icq port blocken bringt nichts da icq dann auf port 80 ausweicht Zitieren Link zu diesem Kommentar
Wurstbläser 10 Geschrieben 23. April 2005 Melden Teilen Geschrieben 23. April 2005 ACLs sind hier wohl überfordert. Ein Hostname in der ACL würde ja eine Namensauflösung erfordern die zu einem unakzeptablem Verzögerung (latenca) führen würde. Es würde auch kein Sinn ergeben da eh nur numerische IP-Adressen verarbeitet werden - der Domainname stünde erst wieder im Layer 6 oder7 HTTP-Paket, der Host hat die Namensauflösung ja bereits weit vor dem Router vorgenommen. Die richtigen Techniken zur Abwehr sind hier wohl Systeme wie IDS/IPS - diese nutzen andere Mechanismen um z.B. ACL-Einträge dynamische zu erzeugen wenn eine bestimmte Signatur ein IP/Port Verhalten ausgemacht hat ... mal so ganz grob beschrieben. Vielleicht hat eure IOS-Version ja ein IDS-feature mit an board? (... oder man gewinnt die administrative Kontrolle über den Desktop zurück) Gruss Robert Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.