Einige Fragen zu Access-Lists

[EvilFlare]

Hallo,

ich hab mich heute den halben Tag mit Access-Lists rumgeschlagen und hab da nun noch so einige ungeklärte Fragen.

Zuerst nun mal meine momentane Config.

!
version 12.2
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname Router
!
boot system flash c800-k9osy6-mw.122-15.T12.bin
logging queue-limit 100
logging buffered 64000 debugging
enable secret 5 xxxxx
!
!
!
ip subnet-zero
ip name-server 194.97.173.125
ip name-server 194.97.173.124
!
vpdn enable
!
vpdn-group 1
request-dialin
protocol pppoe
ip mtu adjust
!
isdn switch-type basic-net3
isdn voice-call-failure 0
!
!
!
!
!
!
interface Ethernet0
ip address 192.168.0.1 255.255.255.0
ip nat inside
ip tcp adjust-mss 1452
pppoe enable
pppoe-client dial-pool-number 1
no keepalive
!
interface BRI0
no ip address
shutdown
isdn switch-type basic-net3
!
interface Dialer1
description T-DSL - Anschluss
ip address negotiated
ip mtu 1454
ip nat outside
encapsulation ppp
ip tcp adjust-mss 1452
no ip mroute-cache
dialer pool 1
dialer idle-timeout 600
dialer-group 1
no cdp enable
ppp authentication chap pap callin
ppp chap hostname xxxxx
ppp chap password 7 xxxxx
ppp pap sent-username xxxxx password 7 xxxxx
!
ip nat inside source list 101 interface Dialer1 overload
ip nat inside source static udp 192.168.0.4 4680 interface Dialer1 4680
ip nat inside source static tcp 192.168.0.4 1024 interface Dialer1 1024
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer1
no ip http server
no ip http secure-server
!
!
access-list 101 permit tcp 192.168.0.0 0.0.0.255 any eq www
access-list 101 permit tcp 192.168.0.0 0.0.0.255 any eq ftp
access-list 101 permit tcp 192.168.0.0 0.0.0.255 any eq pop3
access-list 101 permit tcp 192.168.0.0 0.0.0.255 any eq smtp
access-list 101 permit udp 192.168.0.0 0.0.0.255 any eq domain
access-list 101 permit tcp 192.168.0.0 0.0.0.255 any eq 5190
access-list 101 permit tcp 192.168.0.0 0.0.0.255 any eq 4661
access-list 101 permit tcp 192.168.0.0 0.0.0.255 any eq 4242
access-list 101 permit tcp 192.168.0.0 0.0.0.255 any eq 1024
access-list 101 permit udp 192.168.0.0 0.0.0.255 any eq 4680
access-list 102 permit ip any any
dialer-list 1 protocol ip list 102
!
!
line con 0
stopbits 1
line vty 0 4
password 7 xxxxx
login
!
no rcapi server
!
!
end

1. Frage:
Hab ich es richtig verstanden, dass ich mittels "ip nat inside source list 101 interface Dialer1 overload" dem Router sage, dass er eine Verbindung aufbauen soll, wenn Traffic anliegt, der mit den Access-Lists 101 übereinstimmen?

Aber diese Angaben unter 101 haben doch auch Einfluss darauf, welcher Traffic erlaubt ist, oder?

2. Frage:
Ich bekomme es nicht hin, dass der Router nach den eingestellten 600 Sekunden die Verbindung kappt. Auch nicht, wenn ich alle Rechner im LAN abschalte. Woran liegt das?

3. Frage:
Was hat es mit "dialer-list 1 protocol ip list 102" auf sich? Sage ich damit dem Router, was alles ins Inet darf? Oder was alles ausm Inet rein darf?

4. Frage
Hat wahrscheinlich nicht direkt was mit den Access-Lists zutun. Nach 24 Stunden wird ja vom Provider die Connection gekillt. Wenn das der Fall ist, baut der Router keine neue Verbindung auf. Was kann ich dagegen tun?

- - - - - - -

Im Gesamten bin ich noch recht verwirrt, wie die ganzen Access-Lists ineinander greifen und wäre euch sehr dankbar, wenn ihr mir da mal auf die Sprünge helfen würdet.

Gruß EvilFlare

[scooby]

-Hi,

ich versuche mal mein Glück und versuche dir deine Fragen zu erklären:
1. Frage:
Hab ich es richtig verstanden, dass ich mittels "ip nat inside source list 101 interface Dialer1 overload" dem Router sage, dass er eine Verbindung aufbauen soll, wenn Traffic anliegt, der mit den Access-Lists 101 übereinstimmen?

Aber diese Angaben unter 101 haben doch auch Einfluss darauf, welcher Traffic erlaubt ist, oder?

--------------------------------------------
Damit wird gesagt welche Traffic von außen nach innen geblockt oder durch gelassen werden soll.

------------------------------------------------------
2. Frage:
Ich bekomme es nicht hin, dass der Router nach den eingestellten 600 Sekunden die Verbindung kappt. Auch nicht, wenn ich alle Rechner im LAN abschalte. Woran liegt das?
-----------------------------------------------------------------

Da du dein Statemant:

access-list 102 permit ip any any
dialer-list 1 protocol ip list 102
wählt der Router einfach los, sobald er ein Interesset Traffic sieht. Soll heißen wenn du z.b. sagst
dialer-list 1 protocol ip list 101 dann würde der router nur wählen wenn in der access-list 101 ein statemant passt.

------------------------------------------------------

3. Frage:
Was hat es mit "dialer-list 1 protocol ip list 102" auf sich? Sage ich damit dem Router, was alles ins Inet darf? Oder was alles ausm Inet rein darf?
------------------------------------------------
Siehe oben damit wird gesagt welcher traffic den dialer antiggern soll.
-------------------------------------------------
4. Frage
Hat wahrscheinlich nicht direkt was mit den Access-Lists zutun. Nach 24 Stunden wird ja vom Provider die Connection gekillt. Wenn das der Fall ist, baut der Router keine neue Verbindung auf. Was kann ich dagegen tun?
-----------------------------------------------
Hat schon etwas mit den access-listen zu tun. wenn kein interesst traffic anliegt wird er keine neue Verbindung aufbauen.

Ich hoffe ich konnte ein bischen licht ins dunkel bringen.