Rezo

für mich? du meinst für den netzadmin der voll auf alles kann und darf?

Hallo :shock:

Ich möchte auf einem 1712er access listen erstellen, und zwar mit folgendem hintergrund:

es gibt ein netzadmin der überall hin darf,

ein mitarbeiter der nur beschränkten zugriff auf das internet hat, also nur die allernötigsten ports offen sind, damit dieser keine dummheiten machen kann und nicht sowas wie icq offen hat oder so.

und dann gibt es noch azubis, die nur in das lan dürfen.

also für die ip des netzadmins brauch ich ja keine acl zu machen, die für die azubis müsste glaube ich einfach deny ip any IP_von_azubi_pc sein. Das Problem ist jetzt der MItarbeiter mit seinem beschränkten Zugriff.

nachdem ich mir ein paar gedanken gemacht habe, habe ich folgendes gefunden was mir sehr sinnvoll vorkam:

access-list 100 permit icmp any any echo-reply

access-list 100 permit icmp any any packet-too-big

access-list 100 permit icmp any any echo

access-list 100 permit icmp any any ttl-exceeded

access-list 100 permit tcp any any established

access-list 100 permit udp any eq domain any

access-list 100 permit tcp any any eq www

access-list 100 permit tcp any any eq 443

access-list 101 permit udp any any eq domain

access-list 101 permit tcp any any eq smtp

access-list 101 permit tcp any any eq pop3

access-list 101 permit tcp any any eq www

access-list 101 permit tcp any any eq 443

access-list 101 permit tcp any any established

access-list 101 deny ip any any

100 ist für inbound

101 ist für outbound

wobei das any für ziel-ip ja von mir noch durch die einzelnen ip's der mitarbeiter ausgetauscht werden muss.

meint ihr das reicht, ober ist da noch etwas vergessen worden?

wäre nett wenn mir jemand helfen könnte. :D :D