Cisco Access Listen

[Andiobb 10]

Hi,

ich bräuchte mal eure Hilfe.

Ich soll Access Listen für Cisco erstellen bei denen von innen nach außen https, http, ftp, smtp und dns erlaubt ist.

Der Rest soll verboten sein...ich wäre euch für eure hilfe sehr dankbar und wenn das ganze vieleicht noch erklärt wäre, wäre das super :)

 

 

falls ihr noch irgendwas baucht sagt bescheid :)

[Hr_Rossi 10]

hallo

 

hier ien link der zum verständnis der sicher viel beiträgt,

 

http://www.networkclue.com/routing/Cisco/access-lists/index.php

 

du benötigst definitiv

"Extended Access-Lists" !

 

Hier noch was vom Hersteller:

http://www.cisco.com/en/US/products/sw/secursw/ps1018/products_tech_note09186a00800a5b9a.shtml

 

 

 

lg

rossi

[Andiobb 10]

danke

aber irgendwie steig ich bei der ganzen sache nicht so durch. ich versteh nicht wie man denn nun https, http, ftp, smtp und dns erlaubt ?

sobald ich was erlaub ist doch der rest automatisch verboten oder ?

[AndreasWeller 10]

Mit ACLs wird der Netzverkehr gefiltert, indem gesteuert wird, ob geroutete Pakete an der Router-Schnittstelle weitergeleitet oder abgewiesen werden. Der Router überprüft jedes einzelne Paket. Anhand der in der ACL festgelegten Bedingungen leitet er ein Paket weiter oder verwirft es. Anhaltspunkte für die ACL-Entscheidungen sind unter anderem die Absender- und die Zieladresse, die Protokolle und die Port-Nummern der oberen Schichten.

 

Die Reihenfolge, in der ACL-Anweisungen positioniert werden, ist wichtig. Die Cisco IOS-Software gleicht ein Paket in der Reihenfolge von oben nach unten mit den einzelnen Bedingungsanweisungen in der Liste ab. Sobald eine Übereinstimmung in der Liste gefunden wurde, wird die Annahme- oder Abweisungshandlung ausgeführt, und es werden keine weiteren ACL-Anweisungen bearbeitet. Befindet sich oben in der Liste eine Bedingungsanweisung, die jeden Datenverkehr zulässt, werden die darunter hinzugefügten Anweisungen nie überprüft werden.

[daking 10]

Hola,

 

ja die default action in der ACl ist drop.

 

so sollte das klappen

 

access-list 101 permit tcp <local net> <local net wildcard> any eq 80

access-list 101 permit tcp <local net> <local net wildcard> any eq 443

access-list 101 permit tcp <local net> <local net wildcard> any eq ftp

access-list 101 permit tcp <local net> <local net wildcard> any eq ftp-data

access-list 101 permit tcp <local net> <local net wildcard> any eq smtp

access-list 101 permit tcp <local net> <local net wildcard> any eq domain

access-list 101 permit udp <local net> <local net wildcard> any eq domain

 

wenn du deine dns server weißt kannst du natürlich weiter einschrenken.

Die default action ist drop => jedlicher andere traffic wird wegeschmissen.

willst du wissen was weggeschmissen wird einfach als letzte Zeile

 

access-list 101 deny ip any any log

 

eingeben

 

Ciao

[Andiobb 10]

hej danke

jetzt müsste ich aber noch wissen welche zeile welchen dienst erlaubt ?

also welche zeile steht für was ?

 

was bedeutet das eq ?

[daking 10]

hej danke

jetzt müsste ich aber noch wissen welche zeile welchen dienst erlaubt ?

also welche zeile steht für was ?

 

was bedeutet das eq ?

 

eq (equal) = bedeutet gleich also gleich 23 für z.B. telnet

 

eine liste der known ports findest du z.B. hier (gibts bestimmt noch bessere)

 

http://www.chebucto.ns.ca/~rakerman/port-table.html

 

80 => für default setup http

443 => für default setup https

 

der rest sollte selbsterklärend sein

 

ciao

[Andiobb 10]

hehe bei genauerem hinsehen ist mir dann auch aufgefallen das es ja eigenlich da steht. danke schonmal das hat mir sehr weitergeholfen.

 

nur die letzten beiden zeilen da bin ich mir nicht ganz sicher für was die stehen ?

 

access-list 101 permit tcp <local net> <local net wildcard> any eq domain

access-list 101 permit udp <local net> <local net wildcard> any eq domain

 

?

[daking 10]

Hola,

 

DNS via udp => dns queries

DNS cia TCP => zone transfers (abgleich von dns servern) => denke brauchst du vielleicht nicht umbedingt...

 

Ciao

[Andiobb 10]

danke ds ganze hat mir sehr weitergeholfen...jetz hab ich noch fragen bezüglich Nat einrichten...könnte mir da jemand vieleicht auch ein paar zeilen zu schreiben wie das funktioniert ?

[daking 10]

danke ds ganze hat mir sehr weitergeholfen...jetz hab ich noch fragen bezüglich Nat einrichten...könnte mir da jemand vieleicht auch ein paar zeilen zu schreiben wie das funktioniert ?

 

hola,

 

mit ein wenig mehr infos was du vor hast könnte das schnell von der hand gehen...

 

Ciao

[Andiobb 10]

was bräuchtest du denn ? hab damit noch nie was gemacht und hab des jetz so als "auftrag" bekommen...

vieleicht erstmal irgendwas grundlegendes...wie es eingerichtet wird oder so...

 

 

danke :)

[daking 10]

Hola,

 

für was benötigst du NAT?

 

- site to site

- internet access

- backup

 

usw...

 

willst du viele Adressen auf eine abbilden (many to one nat)

hast du eine bestimmte range die du benutzen willst (many to many nat)

..

..

..

 

das würde die sache erleichtern

 

Ciao

[Andiobb 10]

aaalso das ganze soll ins internet gehen...

ich habe einen provider adressraum von 195.200.1.1-16 bekommen.

 

intern soll das ganze mit 10.x.x.x belegt werden falls du das auch noch brauchst.

viel mehr informationen hab ich leider auch nicht...

[daking 10]

Hola,

 

sollen Adressen von aussen erreichbar sein, oder warum hasst du einen Adress block?

Oder sollen die Mitarbeiter einfach nur fröhlich surfen.

 

Ciao