Hallo :shock:
Ich möchte auf einem 1712er access listen erstellen, und zwar mit folgendem hintergrund:
es gibt ein netzadmin der überall hin darf,
ein mitarbeiter der nur beschränkten zugriff auf das internet hat, also nur die allernötigsten ports offen sind, damit dieser keine dummheiten machen kann und nicht sowas wie icq offen hat oder so.
und dann gibt es noch azubis, die nur in das lan dürfen.
also für die ip des netzadmins brauch ich ja keine acl zu machen, die für die azubis müsste glaube ich einfach deny ip any IP_von_azubi_pc sein. Das Problem ist jetzt der MItarbeiter mit seinem beschränkten Zugriff.
nachdem ich mir ein paar gedanken gemacht habe, habe ich folgendes gefunden was mir sehr sinnvoll vorkam:
access-list 100 permit icmp any any echo-reply
access-list 100 permit icmp any any packet-too-big
access-list 100 permit icmp any any echo
access-list 100 permit icmp any any ttl-exceeded
access-list 100 permit tcp any any established
access-list 100 permit udp any eq domain any
access-list 100 permit tcp any any eq www
access-list 100 permit tcp any any eq 443
access-list 101 permit udp any any eq domain
access-list 101 permit tcp any any eq smtp
access-list 101 permit tcp any any eq pop3
access-list 101 permit tcp any any eq www
access-list 101 permit tcp any any eq 443
access-list 101 permit tcp any any established
access-list 101 deny ip any any
100 ist für inbound
101 ist für outbound
wobei das any für ziel-ip ja von mir noch durch die einzelnen ip's der mitarbeiter ausgetauscht werden muss.
meint ihr das reicht, ober ist da noch etwas vergessen worden?
wäre nett wenn mir jemand helfen könnte. :D :D
