Lan Clients nur gewisse Ports zu Verfügung stellen

[ck84 10]

Hallo, ich möchte meinen LAN clients nur gewisse Ports zur Verfügung stellen, z.B.

21,22,25,53,80,110,143,443 kann ich das auf meiner 2621XM confen?

[rob_67 10]

Hi, klaro, mach doch einfach ne access-liste

[ck84 10]

und wie?

[TuxFan 10]

Du hast ne 2621 und nix vonn access-listen gehört ?

Das hat auch was ...

 

- anmelden

- enablen

- conf t

-Router(config)#access-list 101 permit tcp any any eq 80

-Router(config)#access-list 101 deny ip any any

 

... so in der Art eben.

Die Cisco-HP, das Manual, und auch das "?" sind ziemlich

aussagekräftig in dieser Thematik.

 

Gruss

Tux

[ck84 10]

Hmm hier mal meine Config:

 

access-list 100 deny   ip host x.x.x.41 host 1.1.1.1
access-list 100 deny   ip host x.x.x.41 host 2.2.2.2
access-list 100 deny   ip host x.x.x.41 host 3.3.3.3
access-list 100 deny   ip host x.x.x.41 host 4.4.4.4
access-list 100 permit ip any any
access-list 100 deny   ip host x.x.x.41 any
access-list 100 permit tcp host x.x.x.41 any eq www
access-list 100 permit tcp host x.x.x.41 any eq ftp
access-list 100 permit tcp host x.x.x.41 any eq smtp
access-list 100 permit tcp host x.x.x.41 any eq pop3
access-list 100 permit tcp host x.x.x.41 any eq 22
access-list 100 permit tcp host x.x.x.41 any eq 143
access-list 100 permit tcp host x.x.x.41 any eq 443

 

in meinem Interfaces steht auch drin

ip access-group 100 out
ip access-group 100 in

 

aber irgendwie gehts trotzdem nicht.

[rob_67 10]

Hallo, kann nicht gehen, da du erst ein deny ip von nach machst und hinterher willst du tcp von nach erlauben, machs doch mal umgekehrt, d.h. obern erlaubst du die tcp geschichten und unten schreibst du ein deny ip any any rein, kannst es aber auch lassen, dann schaust du, ob die liste zieht mit sh access-list

 

access-list 100 deny ip host x.x.x.41 host 1.1.1.1

access-list 100 deny ip host x.x.x.41 host 2.2.2.2

access-list 100 deny ip host x.x.x.41 host 3.3.3.3

access-list 100 deny ip host x.x.x.41 host 4.4.4.4

access-list 100 permit tcp host x.x.x.41 any eq www

access-list 100 permit tcp host x.x.x.41 any eq ftp

access-list 100 permit tcp host x.x.x.41 any eq smtp

access-list 100 permit tcp host x.x.x.41 any eq pop3

access-list 100 permit tcp host x.x.x.41 any eq 22

access-list 100 permit tcp host x.x.x.41 any eq 143

access-list 100 permit tcp host x.x.x.41 any eq 443

access-list 100 deny ip host x.x.x.41 any

access-list 100 permit ip any any

 

 

vielleicht wäre ein zusätzliches icmp sinnvoll?

[ck84 10]

so geht nun nachdem ich es umgedreht habe, hier nun nocheinmal mein Eintrag in der conf

 

access-list 100 deny   ip host x.x.x.41 host x.x.x.x
access-list 100 deny   ip host x.x.x.41 host x.x.x.x
access-list 100 permit icmp any any
access-list 100 permit tcp host x.x.x.41 any eq ftp
access-list 100 permit tcp host x.x.x.41 any eq 22
access-list 100 permit tcp host x.x.x.41 any eq smtp
access-list 100 permit tcp host x.x.x.41 any eq domain
access-list 100 permit tcp host x.x.x.41 any eq www
access-list 100 permit tcp host x.x.x.41 any eq pop3
access-list 100 permit tcp host x.x.x.41 any eq 143
access-list 100 permit tcp host x.x.x.41 any eq 443
access-list 100 permit udp host x.x.x.41 any eq 21
access-list 100 permit udp host x.x.x.41 any eq 22
access-list 100 permit udp host x.x.x.41 any eq 25
access-list 100 permit udp host x.x.x.41 any eq domain
access-list 100 permit udp host x.x.x.41 any eq 80
access-list 100 permit udp host x.x.x.41 any eq 110
access-list 100 permit udp host x.x.x.41 any eq 143
access-list 100 permit udp host x.x.x.41 any eq 443
access-list 100 deny   ip host x.x.x.41 any
access-list 100 permit ip any any

 

aber noch eine Frage, wieso kann ich pro Interface nur eine Access-Group machen ? wenn ich eine zweite hinzufügen möchte, wird die erste einfach überschrieben

[rob_67 10]

Hi, du kannst 2 machen eine in und eine out, mehr macht keinen Sinn.

 

 

Gruß

 

Rob