Firewall "IP Inspect" auf 836

[rob_67 10]

Hi, danke für den tip, mein 3660 (12.2.29) kennt den befehl nicht und viele andere ciscos sicher auch nicht:

 

03(config)#ip ?

Global IP configuration subcommands:

access-list Named access-list

accounting-list Select hosts for which IP accounting information is

kept

accounting-threshold Sets the maximum number of accounting entries

accounting-transits Sets the maximum number of transit entries

address-pool Specify default IP address pooling mechanism

alias Alias an IP address to a TCP port

as-path BGP autonomous system path filter

bgp-community format for BGP community

bootp Config BOOTP services

cef Cisco Express Forwarding

classless Follow classless routing forwarding rules

community-list Add a community list entry

default-gateway Specify default gateway (if not routing IP)

default-network Flags networks as candidates for default routes

dhcp Configure DHCP server and relay parameters

dhcp-client Configure parameters for DHCP client operation

dhcp-server Specify address of DHCP server to use

domain IP DNS Resolver

domain-list Domain name to complete unqualified host names.

domain-lookup Enable IP Domain Name System hostname translation

domain-name Define the default domain name

drp Director response protocol configuration commands

dvmrp DVMRP global commands

extcommunity-list Add a extended community list entry

finger finger server

flow-aggregation Configure flow aggregation

flow-cache Configure netflow cache parameters

flow-export Specify host/port to send flow statistics

forward-protocol Controls forwarding of physical and directed IP

broadcasts

ftp FTP configuration commands

gdp Router discovery mechanism

gratuitous-arps Generate gratuitous ARPs for PPP/SLIP peer addresses

host Add an entry to the ip hostname table

host-routing Enable host-based routing (proxy ARP and redirect)

hp-host Enable the HP proxy probe service

http HTTP server configuration

icmp ICMP options

igmp IGMP global configuration

local Specify local options

mrm Configure IP Multicast Routing Monitor test

parameters

 

er kann auch pppoe aber leider nicht als dns server fungieren oder es geht erst ab 12.3 bzw. 12.4 er iossen... deine dokumente beziehen sich auch auf 12.3 er iossen...

 

gruss

 

rob

[Alex_K._aus_M. 10]

Hmmm,

 

jetzt wirds aber spannend :wink2: Nein im ernst, ich habe den Router 192.168.2.1 als DNS Server auf den Clients Eingertagen. Und das funktioniert auch. Nur eben nicht mehr wenn ich die Firewall aktiviere.

 

Ich dachte der Router leitet DNS Anfragen die an ihn gerichtet sind, an die statisch angegebene Adresse weiter. Dann sollte das doch so aussehen ? oder ?

ip name-server 194.25.2.129

Bisher fehlt der Eintrag noch in meiner Config.

 

 

Ich habe nur folgenden Eintrag unter meinem Dialer Konfiguriert.

ppp ipcp dns request

Global

ip dns server

Und bin bisher davon ausgegangen das er einen DNS Server bei der Einwahl vom Provider bekommt und diesen auch bei Internen Anfragen aus dem LAN verwendet.

 

 

Ich probiere heute abend mal den "statischen" Eintrag aus. Mal schauen ob es dann funktioniert.

 

PS. Geheimkommamndos gibt es sie ? Es gibt vielleicht Kommandos die nicht dokumentiert sind, aber ob diese Geheim sind ? :D

[Alex_K._aus_M. 10]

@ Pretender

 

Zu deinem Problem mit den Access-Listen - poste Sie doch einmal hier bzw. überprüf mal ob du domain/udp auch durchlässt.

 

Eigentlich habe ich auf dem Dialer Interface nur die 101 Access-Liste

 

interface Dialer1

description connected to Internet

ip access-group 101 in

ip nat outside

ip inspect myfw out

 

 

access-list 101 deny ip any any

 

 

Ich werde heute abend mal einen statischen DNS eintargen. Sieht mittlerweile so aus, als würde das

"New Software Features in Cisco IOS Release 12.3(2)T --- DNS Proxy" nicht mehr funktionieren wenn dir Firewall aktiv ist.

 

Gruß

[rob_67 10]

...ist vielleicht doch ein bug? der ganze dns server oder ein cisco irrtum...

 

Bei cisco stehe ich sooo oft vor der frage:

 

 

is it a feature or is it a bug? :cool:

 

gruss

 

rob

[daking 10]

Hola,

 

denke, dass für den Router keine Regel für den Rückweg in der 101er ACl generiert wird, somit geht die anfrage theoretisch raus. Die Antwort wird dann geblockt.

Na ja entweder du stellt auf deinen statischen Clients den externen DNS Server ein oder du versuchst es mal mit DHCP.

 

kannst testweise auch mal die 101 ACL mit deny ip any any log den verworfenen Traffic checken.

 

Ciao

[Alex_K._aus_M. 10]

.... so, jetzt hab ichs probiert

 

Also wenn man die access-list aufs Dialer Interface bindet leitet der Cisco Router keine DNS Anfragen mehr weiter, die an ihn gerichtet sind. (Wir hatten es ja schon vermutet)

 

 

@Pretender

Die Name-Server sollten in der Config eingetragen sein.

ip name-server xxxx

Ich habe nichtmal einen Server angegeben :eek: und es hat trotzdem funktioniert(siehe meine Config). Sieht so aus als würde der Router den "gelernet DNS" Server des Providers verwenden.

Router#sh run | inc dns

ppp ipcp dns request

ip dns server

Router#sh run | inc server

no ftp-server write-enable

no ip http server

no ip http secure-server

ip dns server

 

Wie schon gesagt geht das alles nur solange man das Firewall Feature nicht aktiviert und die access-Liste aufs Interface bindet. Ein Eintrag wie

ip name-server 194.25.2.129

auf dem Router bringt auch nichts! Dann geht es trotzdem nicht :(

 

Erst nachdem ich den "externen" DNS Server an den Clients eingetragen habe. Kann ich wieder surfen.

 

Klar hätte ich das schon früher machen könne, aber dann lernt man ja nichts :wink2:

 

Danke für eure Hilfe, hier gefällt es mir

[daking 10]

Hola,

 

wenn du das Firewall Feature aktiviert hast scheint es nicht sinnvoll zu sein das ip dns server feature zu aktivieren.

 

Das einzige was mir dazu einfällt währe die 101 ACL zu erweitern (was nicht sicher ist!!)

 

permit udp any eq 53 any gt 1023 log (log zum Testen)

 

anstatt any kannst du auch den DNS Server eintragen.

 

Hmmmm.