ich habe vor einigen Tagen mal angefangen mich mit dem Thema Cisco etwas genauer zu beschäftigen. Ich benutze einen Router Cisco 803 mit dem IOS:
IOS (tm) C800 Software (C800-K8OSY6-MW), Version 12.2(13)T
eingerichtet habe ich darauf folgendes:
- lokales Netzerk mit vergabe von DHCP-Adressen - 192.168.12.0
- DSL Einwahl über vpdn und pppoe
- später soll es mal möglich sein von außen per ISDN eine Einwahl auf diesem Router zu ermöglichen und auch über diese Einwahl den DSL Zugang zu nutzen (ansatzweise Dialer2)
- außerdem sind halt die pots eingerichtet + rcapi (funktioniert auch)
Woran ich nun gescheitert bin ist das Einrichten der Access-Lists - bzw. Firewall. Wenn ich die Config mit den ACL's so wie ich es mir vorstellte startete konnte ich leider gar nicht mehr mit dem I-Net kommunizieren.
Deshalb frage ich ganz unbeleckt, wie sollten entsprechende Access-Lists aussehen?
aktuelle Config:
!
version 12.2
no service pad
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname "AI-NET-RAS"
!
boot system flash c800-k8osy6-mw.122-13.T.bin
enable secret 5 XXX
!
username master password 7 XXX
!
dial-peer voice 1 pots
no caller-id
no forward-to-unused-port
no call-waiting
ring 0
no silent-fax
registered-caller ring 1
port 1
volume 3
destination-pattern yyy
!
dial-peer voice 2 pots
no caller-id
no forward-to-unused-port
no call-waiting
ring 0
no silent-fax
registered-caller ring 1
port 2
volume 3
!
pots country DE
!
ip subnet-zero
ip dhcp excluded-address 192.168.12.1 192.168.12.49
ip dhcp excluded-address 192.168.12.60 192.168.12.254
!
ip dhcp pool 1
network 192.168.12.0 255.255.255.0
domain-name AI-HOMEZONE
default-router 192.168.12.100
dns-server 62.104.191.241
!
no ip domain lookup
ip name-server 194.25.2.129
vpdn enable
!
vpdn-group 1
request-dialin
protocol pppoe
ip mtu adjust
!
isdn switch-type basic-net3
!
!
!
!
interface Ethernet0
description connected to AI-HOMEZONE
ip address 192.168.12.100 255.255.255.0
ip nat inside
ip tcp adjust-mss 1452
pppoe enable
pppoe-client dial-pool-number 1
no keepalive
!
interface BRI0
description connected to Dial-inPCs(ISDN),Internet
no ip address
encapsulation ppp
dialer pool-member 2
isdn switch-type basic-net3
isdn voice-priority 30602 out always
isdn voice-priority 30602 in always
isdn voice-priority 30415 out always
isdn voice-priority 30415 in always
isdn incoming-voice modem
!
interface Dialer1
description T-DSL - Anschluss
ip address negotiated
ip mtu 1492
ip nat outside
encapsulation ppp
ip tcp adjust-mss 1452
no ip mroute-cache
dialer pool 1
dialer-group 1
no cdp enable
ppp authentication pap callin
ppp pap sent-username XXX
!
interface Dialer2
description connected to Dial-inPCs(ISDN)
ip address 10.0.0.1 255.255.0.0
ip nat inside
encapsulation ppp
no ip split-horizon
dialer pool 2
dialer remote-name Dial-inPCs(ISDN)
dialer-group 1
peer default ip address pool AI-NET-RAS-Group-2
no cdp enable
ppp authentication chap pap callin
ppp multilink
!
router rip
version 2
passive-interface Dialer1
network 10.0.0.0
network 192.168.12.0
no auto-summary
!
ip local pool AI-NET-RAS-Group-2 10.0.0.10 10.0.0.11
ip nat inside source list 1 interface Dialer1 overload
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer1
no ip http server
ip pim bidir-enable
!
!
access-list 1 permit 192.168.12.0 0.0.0.255
access-list 1 permit 10.0.0.0 0.0.255.255
access-list 120 permit ip any any
dialer-list 1 protocol ip list 120
!
snmp-server engineID local 0000000902000050737787C4
snmp-server community public RO
snmp-server enable traps tty
!
line con 0
exec-timeout 0 0
password 7 XXX
login
stopbits 1
line vty 0 4
password 7 XXX
login
!
rcapi server port 2578
!
rcapi number YYY
rcapi number YYY
!
end
ich verwende reflexive Accesslisten. Reflexive Accesslisten erlauben für jede ausgehende Verbindung die entsprechenden Rückpakete:
Code:
interface Dialer10
description DIALER PROFILE: INTERNET DSL
...
ip access-group ACL_Internet_IN in
ip access-group ACL_Internet_OUT out
...
ip access-list extended ACL_Internet_IN
evaluate REFLECT_ACL_Internet
permit esp any any
permit udp any any eq isakmp
deny tcp any 172.16.73.0 0.0.0.255 range 0 65535
deny udp any 172.16.73.0 0.0.0.255 range 0 65535
deny ip any 172.16.73.0 0.0.0.255 log-input
permit udp host 192.53.103.103 any eq ntp
permit udp host 192.53.103.104 any eq ntp
remark AGE OF EMPIRES/DIRECTX/ZONE
permit tcp any any eq 6667
permit tcp any any eq 2000
permit udp any any eq 2000
permit tcp any any eq 47624
permit udp any any range 2300 2400
permit tcp any any range 2300 2400
permit tcp any any range 28800 29000
remark ALLOW FTP
permit tcp any eq ftp-data any
remark INCOMING ICMP RULES
permit icmp any any ttl-exceeded
permit icmp any any echo-reply
deny icmp any any log
deny tcp any any range 0 65535 log
deny udp any any range 0 65535 log
deny ip any any log
ip access-list extended ACL_Internet_OUT
deny udp any range 135 netbios-ss any log
deny tcp any range 135 139 any log
deny udp any eq 445 any log
deny tcp any eq 445 any log
deny udp any any range 135 netbios-ss log
deny tcp any any range 135 139 log
deny udp any any eq 445 log
deny tcp any any eq 445 log
permit ip any any reflect REFLECT_ACL_Internet
Deine Signatur
