access-list 121 deny tcp host 192.168.0.251 host 208.65.153.238 greift nicht

[stoffel_hessen]

Hallo zusammen,

ich habe noch ein kleines Problem mit den AccessListen.
Ich möchte für einen Client in lokalen Netzwerk IP-Adressen im Internet Sperren.

Ich habe folgende Konfiguration.

interface Dialer1
ip address negotiated
ip access-group 111 in
ip access-group 121 out
ip mtu 1492
ip nat outside
ip inspect myfw out
ip virtual-reassembly
encapsulation ppp
ip tcp adjust-mss 1452
dialer pool 1
dialer remote-name redback
dialer-group 1
ppp authentication pap chap callin
...

access-list 102 permit ip 192.168.0.0 0.0.0.255 any
access-list 111 permit udp any eq domain any
access-list 111 deny ip any any
access-list 121 deny tcp host 192.168.0.251 host 208.65.153.238
access-list 121 deny tcp host 192.168.0.251 host 208.65.153.251
access-list 121 deny tcp host 192.168.0.251 host 208.65.153.253
access-list 121 permit tcp any any eq www
access-list 121 permit tcp any any eq pop3
access-list 121 permit tcp any any eq smtp
access-list 121 permit tcp any any eq domain
access-list 121 permit udp any any eq domain
access-list 121 permit tcp any any eq 81
access-list 121 permit tcp any any eq ftp-data
access-list 121 permit tcp any any eq ftp
access-list 121 permit udp any any eq time
access-list 121 permit tcp any any eq 37
access-list 121 permit tcp any any eq nntp
access-list 121 permit tcp any any eq 443
access-list 121 permit tcp any any eq 465
access-list 121 permit tcp any any eq 123
access-list 121 permit tcp any any eq 995
access-list 121 permit tcp any any eq 3000
access-list 121 deny ip any any

Die Zieladressen 208.65.153.238, 208.65.153.251, 208.65.153.253 sind von diesem Host immer noch erreichbar.

Wenn ich diese 3 Zeilen
access-list 121 deny tcp host 192.168.0.251 host 208.65.153.253
access-list 121 deny tcp host 192.168.0.251 host 208.65.153.251
access-list 121 deny tcp host 192.168.0.251 host 208.65.153.240

durch diese ersetze

access-list 121 deny tcp any host 208.65.153.253
access-list 121 deny tcp any host 208.65.153.238
access-list 121 deny tcp any host 208.65.153.251

sind die Adressen im ganzen Netz nicht mehr erreichbar.

Was habe ich falsch gemacht.

Ist ein Cosco 836

Danke für die Hilfe

[makana]

wie sind denn die ziel addressen noch erreichbar per ping ? oder kannst du auch traffic machen

[blackbox]

ich vermute eher, das es durch das NAT kommt - an der stelle hat er nicht mehr die 192... - setzte doch mal bei der access-list 121 deny tcp any host 208.65.153.253 nen LOG dahinter und schau was er da wirlich blockt...

[rob_67]

...oder setz den Filter aufs LAN IF.


gruss

rob

[makana]

Probier mal so ich denke du hast einen fehle in den host bits der wild cards ich mein es müßte so aussehen
access-list 121 deny tcp host 192.168.0.251 0.0.0.0 host 208.65.153.253 0.0.0.0 eq 80
access-list 121 deny tcp host 192.168.0.251 0.0.0.0 host 208.65.153.251 0.0.0.0 eq 80
access-list 121 deny tcp host 192.168.0.251 0.0.0.0 host 208.65.153.240 0.0.0.0 eq 80

und tip Extended acls werden immer so na wie möglich an der quelle gesetzt im gegensatz zu Standrad acl also brenne die ACL auf dein lan interface " ethernet" access-class 121 in

[frzso]

so funkts auf keinen fall

"host" entspricht den "0.0.0.0" und doppelt hält bei cisco sicher nicht besser...

und wie bereits von blackbox angesprochen passiert das nat bevor der router die acl's abhandelt