1603 wählt immer ins Internet

[MasterMind]

Hallo,

ich versuche einen 1603er dazu zu bringen, NUR bei HTTP, FTP, POP3 ins Internet wählt. Eventuell auch noch nur von einigen IP's aus. Das Problem ist jetzt nur, das der Router in einem reinen Microsoft Netzwerk betrieben werden soll und er durch Broadcasts immer wieder einen B-Kanal auf macht. Ich habe mal die Konfig mit gepostet mit der Hoffunung, das mir jemand weiterhelfen kann....
Vielen Dank schon mal im vorraus.
MM

-------------------------------------------------------------------------------
!
version 12.0
service timestamps debug uptime
service timestamps log uptime
!service password-encryption
!
hostname Gatebug
!
no logging console
enable password password
!
ip subnet-zero
!ip name-server DNS-Server-IP
isdn switch-type basic-net3
!
!
!
interface Ethernet0
description connected to EthernetLAN
ip address 192.168.1.1 255.255.255.0
no ip directed-broadcast
ip nat inside
!
interface BRI0
description connected to Internet
no ip address
no ip directed-broadcast
ip nat outside
encapsulation ppp
dialer rotary-group 1
isdn switch-type basic-net3
no cdp enable
!
interface Dialer1
description connected to Internet
ip address negotiated
no ip directed-broadcast
ip nat outside
encapsulation ppp
no ip route-cache
no ip split-horizon
no ip mroute-cache
dialer in-band
dialer idle-timeout 120 either
dialer string number-to-call
dialer hold-queue 10
dialer load-threshold 80 either
dialer-group 1
no cdp enable
ppp authentication chap pap callin
ppp chap hostname dial-in-username
ppp chap password password
ppp pap sent-username username password password
ppp multilink
!
router rip
version 2
passive-interface Dialer1
network 192.168.1.0
no auto-summary
!
ip nat inside source list 1 interface Dialer1 overload
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer1
!
access-list 1 permit 192.168.1.0 0.0.0.255
access-list 102 deny udp any eq netbios-dgm any
access-list 102 deny udp any eq netbios-ns any
access-list 102 deny udp any eq netbios-ss any
access-list 102 deny udp any range snmp snmptrap any
access-list 102 deny udp any range bootps bootpc any
access-list 102 deny tcp any eq 137 any
access-list 102 deny tcp any eq 138 any
access-list 102 deny tcp any eq 139 any
access-list 121 deny udp any eq netbios-dgm any
access-list 121 deny udp any eq netbios-ns any
access-list 121 deny udp any eq netbios-ss any
access-list 121 deny tcp any eq 137 any
access-list 121 deny tcp any eq 138 any
access-list 121 deny tcp any eq 139 any
access-list 121 permit udp any any eq domain
access-list 121 permit tcp any any eq www
access-list 121 permit tcp any any eq ftp
access-list 121 permit tcp any any eq 22
access-list 121 permit tcp any any eq smtp
access-list 121 permit tcp any any eq pop3
access-list 121 permit icmp any any
dialer-list 1 protocol ip permit
!
line con 0
exec-timeout 0 0
password password
login
transport input none
line vty 0 4
password password
login
!
end
--------------------------------------------------------------------------------

[Frank04]

Broadcasts glaube ich nicht, ist doch ein Router und der sollte eigentlich keine Broadcasts routen.

Eher tippe ich auf Filesharing-Tools alla Kazaa, e-mule.

Wenns nicht so viele IP-Adresse sind, kannst Du ja auf jeden Falle eine entsprechende ACL schreiben...testweise.

[MasterMind]

Hallo Frank04,

zur Zeit ist nur Rechner mit dem Router verbunden und der hat 100%ig kein Filesharing Tool drauf. Ich vermute, das es eventuell am public DNS ist, der auf dem Client eingetragen ist. Bin mir aber nicht sicher...

[scooby]

Hi,

folgende ACL sind in dem Router schon drin.

heißt im Klartext erlaubt ist DNS FTP Mail www ICMP traffic ist erlaubt.

access-list 121 deny udp any eq netbios-dgm any
access-list 121 deny udp any eq netbios-ns any
access-list 121 deny udp any eq netbios-ss any
access-list 121 deny tcp any eq 137 any
access-list 121 deny tcp any eq 138 any
access-list 121 deny tcp any eq 139 any
access-list 121 permit udp any any eq domain
access-list 121 permit tcp any any eq www
access-list 121 permit tcp any any eq ftp
access-list 121 permit tcp any any eq 22
access-list 121 permit tcp any any eq smtp
access-list 121 permit tcp any any eq pop3
access-list 121 permit icmp any any
___________________________________
dialer-list 1 protocol ip permit
___________________________________

jetzt sagst du einfach no dialer-list 1 protocol ip permit
und dann sagst du dialer-list 1 protcol ip list 121

Jetzt kann nur Traffic oben genannt den Dailer antriggern bzw. den Idle-Timer wieder zurücksetzten. Wenn jetzt irgendwelche anderen Accpilcation in Internet wollen passiert nix. bzw der IDLE Timer wird nicht zurückgesetzt.

[MasterMind]

Hallo scooby,

Jetzt hat der Router gar nichst mehr gemacht. Nicht einmal einen ping vom router selber !
Ich habe dann noch folgendes gemacht:
access-list 1 permit 192.168.1.35 0.0.0.0
dialer-list 1 protocol ip list 121
Damit wollte ich das nur die eine IP den Router aktivieren kann. Jetzt funktioniert es zwar ABER er fängt wieder an, sporadisch einen Kanal auf zu bauen mit dem Dial reason: ip (192.168.1.35, d=213.61.0.35). Die public ip ist ein dns server den ich am pc eingetragen habe. Das einzige was auf dem pc aktiv ist, ist ein Terminal zum router und ein Virenscanner der aber auf den Master im internen Netz verweist....
Was könnte noch falsch sein ?

[scooby]

Hi,

verstehe ich nicht warum der Router nicht einfach loswählt wenn man die Access-Listen bearbeitet. Mach folgendes:
no access-list 121
dann gibst du die Access-Listen nocheinmal neu ein:
access-list 121 permit udp any any eq domain
access-list 121 permit tcp any any eq www
access-list 121 permit tcp any any eq ftp
access-list 121 permit tcp any any eq 22
access-list 121 permit tcp any any eq smtp
access-list 121 permit tcp any any eq pop3
access-list 121 permit icmp any any

Danach öffnest du den Internet Explorer und versuchst einmal auf eine Internetseite zuzugreifen
Wenn es dann immernoch nicht geht poste nocheinmal dein sh run.

[MasterMind]

Hi scooby,

super vielen Dank für deine Hilfe und auch Geduld !!!!
Der Router wählt wieder... Das einzige was ich noch nicht herausfinden konnte ist, warum er einen Kanal aufbaut, wenn der PC hoch.- bzw. runter fährt ???
Könntest Du mir vieleicht noch verraten, wie man nur bestimmten IP Adressen erlauben kann, die den Router benutzen dürfen ?

Wenn diese zwei Dinge gelöst sind, habe ich meinen wunsch Router zusammen !

Vielen Dank nochmal für deine Hilfe
MM

P.S. Nachtrag: Habe rausgefunden, das MS xp beim hoch.- bzw. runter ´fahren und während dem Betrieb eine DNS Anfrage macht. Somit wird immer ein Kanal geöffnet. Habe jetzt die access-list domain entfernt und es wird ruhiger. Muss halt jetzt immer nen Ping auf ne public IP machen, damit ich surfen kann... Kennt jemand ne bessere Lösung ?

[scooby]

Hi,

bestimmte IP-Adressen erlauben bzw. verbiete ist relativ einfach.
Zur Zeit hast du folgenden Spruch drin:
access-list 121 permit tcp any any eq www
die zwei Sprüche any any mußt du bearbeiten. Das erste any steht für die Source das nächste any steht für die destination. Heißt du löschst die access-liste 121 wieder und sagst dann z.b.
access-list 121 permit 192.168.1.1 0.0.0.255 any eq www
Heißt alle Ip-Adressen aus dem Bereich 192.168.1.1 -192.168.1.254 dürfen mit einem port 80 den dailer aktivieren. Alle anderen IP-Adressen haben keinen match und können aus diesem Grunde den dailer nicht anstoßen.

Wieso macht der eine DNS-Anfrage. Welchen DNS-Namen will er auflösen? Dann könnte man diesen Namen in der host Datei vom Windows eintragen und im Router diese IP-Adresse blocken bzw. eine private Adresse daraus machen das der Router diese nicht routed. Soll heißen
192.168.1.1 DNS-Namen

Dann würde der PC seine Daten an DNS-Namen an 192.168.1.1 schicken.

Wenn du dir das mit dem ping ersparen möchtest müßte es auch funktionieren wenn du die IP-Adresse von deiner Standart-Internet Seite nach oben gezeigtem Beispiel in der LSThost unterbringst. So started der keine DNS-Request sondern nimmt aus der host die IP-Adresse.
216.239.57.104 www.google.de
oder du trägst als startseite deines Internet-Explorer nicht den DNS-Namen ein sondern die IP-Adresse.
Eine andere möglichkeit ist du startest dein Mail-Program. In der Access-Listet steht pop3 und snmtp aktiviert den dailer. Das würde auch funktionieren.
ich hoffe du verstehst was ich meine.
Vielleicht weiß irgendjemand im Forum was der da genau für ein DNS-Request losschickt und wie man den ausschalten kann.

[MasterMind]

Hi,

das mit dem DNS hat sich geklärt. Und zwar habe ich zuhause ein kleines Netzwerk mit Active Directory und der PC ist Mitglied dieser Domäne. Somit will er immer wieder mit dem DC Kontakt aufnehmen. Ich habe jetzt als primären DNS den DC eingetragen und als sekundären den public DNS, somit ist alles wieder in Butter und funktioniert dank deiner Hilfe alles so wie es soll. Nochmals vielen Dank !
Was ich noch machen wollte ist, das ich nur bestimten IP Adressen den Zugriff über den Router erlaube möchte, z.B. 192.168.1.5, 192.168.1.8 und 192.168.1.10. Mit deiner Lösung würde ich ja dem gesamten Netz den Zugriff erlauben. Bin mir nicht sicher, ob das so möglich ist. Damit will ich erreichen, das der DC z.B. keine DNS Anfragen an den Router schickt und der gleich einen Kanal aufbaut sondern erlaubt sein sollen nur die 3 Clients.
Für einen Tipp wäre ich wieder sehr dankbar.

[scooby]

Hi,

dann werden dieStatemants ein bischen gößer. Bedeutet:
access-list 121 permit udp host 192.168.1.5 any eq domain
access-list 121 permit tcp host 192.168.1.5 any eq www
access-list 121 permit tcp host 192.168.1.5 any eq ftp
access-list 121 permit tcp host 192.168.1.5 any eq 22
access-list 121 permit tcp host 192.168.1.5 any eq smtp
access-list 121 permit tcp host 192.168.1.5 any eq pop3
access-list 121 permit icmp host 192.168.1.5 any
und dann die access-liste 121 so weiter bearbeiten für jeden host den du es erlauben möchstest das es ihm erlaubt wird die Verbindung aufzubauen.

Dir ist aber bewußt wenn eine Internet-Verbindung besteht können alle anderen Cleint auch surfen, solange der IDLE-Timer von den Clients die in derAccss-Listet 121 erwähnt sind wieder erneuert werden. Wenn irgendwann einmal ein Client aus der Access-Liste 121 aufhört zu surfen wird der Idle-Timer nicht wieder zurückgesetzt und der CLient der nicht in der Access-Liste 121 erwähnt ist kann dann auch nicht mehr surfen.