Hi Leute,
folgendes Problem:
Ich möchte bei meinem Cisco 2600 Router (IOS Version 12.3) ein Internet Verbindung aufbauen, den Zugang zum www, ftp, smtp, pop3, https und echo jedoch nur einer ausgewählten IP (10.1.1.123) gestatten.
Meine running-config sieht wie folgt aus:
!
version 12.3
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Access
!
boot-start-marker
boot-end-marker
!
!
no network-clock-participate slot 1
no network-clock-participate wic 0
no aaa new-model
ip subnet-zero
ip cef
!
!
!
vpdn enable
!
vpdn-group 1
request-dialin
protocol pppoe
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
interface FastEthernet0/0
ip address 10.1.1.1 255.255.255.0
ip nat inside
duplex auto
speed auto
!
interface Serial0/0
no ip address
shutdown
!
interface FastEthernet0/1
no ip address
ip access-group 100 in
ip nat outside
ip tcp adjust-mss 1452
duplex auto
speed auto
pppoe enable
pppoe-client dial-pool-number 1
!
interface Serial0/1
no ip address
shutdown
!
interface Serial1/0
no ip address
shutdown
!
interface Serial1/1
no ip address
shutdown
!
interface Serial1/2
no ip address
shutdown
!
interface Serial1/3
no ip address
shutdown
!
interface Dialer1
ip address negotiated
ip access-group 100 in
ip mtu 1492
ip nat outside
encapsulation ppp
ip tcp adjust-mss 1452
no ip mroute-cache
dialer pool 1
dialer-group 1
no cdp enable
ppp authentication pap callin
ppp pap sent-username xxxxxxxxxxxxxxxxxxxxxxxxxxxx#0001@t-online.de password 0 xxxxxxxx
!
ip nat inside source list 1 interface Dialer1 overload
ip http server
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer1
!
!
access-list 100 permit icmp 10.1.1.123 0.0.0.0 any echo-reply
access-list 100 permit tcp 10.1.1.123 0.0.0.0 any established
access-list 100 permit udp 10.1.1.123 0.0.0.0 eq domain any
access-list 100 permit tcp 10.1.1.123 0.0.0.0 any eq 3000
access-list 100 permit tcp 10.1.1.123 0.0.0.0 any eq 3001
access-list 100 permit tcp 10.1.1.123 0.0.0.0 eq ftp-data any
access-list 101 permit tcp 10.1.1.123 0.0.0.0 any eq www
access-list 101 permit udp 10.1.1.123 0.0.0.0 any eq domain
access-list 101 permit tcp 10.1.1.123 0.0.0.0 any eq pop3
access-list 101 permit tcp 10.1.1.123 0.0.0.0 any eq smtp
access-list 101 permit tcp 10.1.1.123 0.0.0.0 any eq 443
access-list 101 permit tcp 10.1.1.123 0.0.0.0 any eq 3000
access-list 101 permit tcp 10.1.1.123 0.0.0.0 any eq 3001
access-list 101 permit tcp 10.1.1.123 0.0.0.0 any eq ftp-data
access-list 101 permit tcp 10.1.1.123 0.0.0.0 any eq ftp
access-list 101 permit icmp 10.1.1.123 0.0.0.0 any eq echo
dialer-list 1 protocol ip permit
!
!
!
!
!
!
!
line con 0
line aux 0
line vty 0 4
login
!
!
end
Trotz der extended Access-List ist es allen Rechnern im Lan möglich die Freuden des WWWs zu genießen.
Wenn ich mit deny einer bestimmten IP ein Protokoll verbiete, so wirkt sich das sofort auf das gesamte LAN aus.
Da ich mit meinem Latein am Ende bin bitte ich euch um Rat.