Otaku19

dann schlage ich eher folgendes vor: ip nat inside source static tcp 10.0.10.x 80 offizielle IP/interface 80 extendable ip nat inside source static tcp 10.0.10.x 443 offizielle IP/interface 443 extendable ip nat inside source static tcp 10.0.10.y 110 offizielle IP/interface 110 extendable ip nat inside source static tcp 10.0.10.y 25 offizielle IP/interface 25 extendable [usw usf je nachdem was halt wohin gehen soll] ip nat inside source static 10.0.10.z offizielle IP/interface extendable [hier wird bestimmt das eignetlich alles auf die FW gehen soll sofern nciht obiges schon zutrifft] wie wärs denn damit ? Sicher einfacher als route-maps

Hier mal die interessanten Punkte der Config: ip dhcp pool CLIENT network 192.168.0.0 255.255.255.0 default-router 192.168.0.1 lease 0 2 interface BVI2 ip address 10.138.1.1 255.255.255.0 ip nat inside ip virtual-reassembly interface Vlan1 ip address 192.168.0.1 255.255.255.0 ip nat inside ip virtual-reassembly Das WLAN Interface hängt per bridgdegroup im BVI interface, alle Fastethernets im VLAN1. Meien Frage jetzt...angenommen jemand befindet sich im WLAN und startet per DHCP eine Anfrage, wird er dann aus dem obigen Client mit falschen infos versorgt ? Oder merkt der Router automatisch das eine Konfiguration von 192.168.0.x Adressen an Clients im WLAN keinen Sinn hat ? Wenn dem so ist, dann müsste ich ja dann um DHCP auch via WLAN zu haben einfach nur einen 2. Pool konfigurieren udn der bedient dann auch nur das WLAN netz ?

macht der Router eignetlich NAT ? Dann wären portforwards leichter

und würds konfig mässig hinhaun ? Dann müsste man noch eine 2. Regel für den Mailkrempel basteln. wobei man die allesamt mit einer ACL abdecken kann

mit route-map lässt sich alles umsetzen was über erweiterte ACLs greifbar ist. nur hab ich damit weder oft gearbeitet, noch weiß ich obs am 871er hinhaun wird. Aber ein Guru könnte ja vielleicht mal da drüber schaun: access-list 110 permit tcp any any 80 route-map http permit 100 match ip address 110 set ip next-hop IP 10.0.10.y (oder halt set interface wenn die Dinger an verschiedenen ints angebunden sind) dann eben noch "ip policy route-map http" auf dem interface setzen wo der Verkehr reinkommt, oder ?

Geld verdienen im Sinne von gewinnträchtig an Leute mit eher zweifelhaftem Ruf weiterverkaufen oder Leute aus der Securitybranche ? Denke mal grad in Hinsicht auf die Gesetzesnovelle bei euch in Deutschland hat mans als "ehrlicher Stresstester" dann doch eher schwer

Immer wieder (mir kommts in den letzten Monaten immer öfter vor) ist auf div. Newsseiten zu lesen das mal jene oder diese Cisco Komponente durch manipulierte, zu grosse, nicht standardkonforme oder sonst wie merkwürdige Pakete aus dem tritt kommen, abstürzen, sogar eine Anmeldung am Gerät zulassen usw. Meistens, oder besser so gut wie nie wird ja seitens Cisco beschrieben wie der Angriff funktioniert...wär ja auch eher kontraproduktiv, trotzdem will man vor einem IOS Upgrade wissen was Sache ist. Meine Fragen dazu wären: Wer zum teufel kommt auf sowas ? Meist sind es ja doch recht spezfische Daten die man dazu an das Ziel schicken muss. Wie "manipuliert" ein solcher Hacker diese Pakete ? Schreiben die sich dazu selbst Programme oder gibts dafür auch schon Bausätze wie es in der Malwareszene ja leider schon üblich ist.

hm, dem kann ich ncith folgen wordo...steh anscheiend grade auf dem schlauch wenn ein Leasekonfiguriert ist, dann könntest du den DHCP Service deaktivieren, den Lease abwarten und dann (evtl anders konfiguriert damit der Cleint die gewünschte IP erhält) neu starten. Nur was heisst "auf eine bestimmte IP horchen" ? Der Server darf nur von einer bestimmten IP aus angesprochen werden ? der SSH Service funkt nur auf einer bestimmten IP Adresse ?

dann gibts nichts "forzuwarden" ;) Die IPs sind von aussen zugänglich und jede für sich kann auf jedem Port angesprochen werden solang auf deiner Seite irgendwas darauf lauscht. Internet -Linknetz oder auch schon dein Netz->Router->Server 1 + Server 2 Stinknormales Routing eben der einzige NAT Einsatzzweck hier wäre eine statisches 1:1 NAT...was aber hier keinen Sinn macht

das getrunkt wird, also auf jedem Switch alle VLANs soweit vorhanden auch nutzbar wären... Nur glaube ich das du die Switches stacken und nicht einfach kakskadieren willst...und auf den ersten Blick schauts nciht so aus als ob das ginge

dann wirds aber mit normalen Portforward nicht klappen, den kann man nur auf eine IP schieben, dem Router ist die aufegrufene domain ja egal...einem Reverseproxy jedoch nicht. Einfacher wärs jedoch die beiden einfach auf verschiedenen Ports laufen zu lassen

wenns öffentlich sind...wozu dann natten ?

ich log mich in der Netacad ein und schau bei den unterlagen ob sich was getan hat

hm...dann habe ich also mit meinem "alten" CCNA nur mehr Zugriff aufs alte Curriculum ?

bei mir ist das zwar schon wieder ein Jährchen her, aber IPv6, VOIP und WLAN (+den dingen die damit zusammenhängen) kommt da sicher nicht vor. Sicher das du die zertifizierung ablegen willst ohne auch nur einen Blick ins Curriculum geworfen zu haben ?

hm, keien ahnugn wie das bei Etherchannel abläuft und ob man da per session oder per packet einstellen kann wie bei multilink verbindungen...aber wenn,dann werden unabhängig von der verwendeten bandbreite beide leitungen verwendet

ne verbindung drüber starten und ip cache flow anschaun ? war jetzt eignetlicha uf der gegenseite ein Port auf half ?

jo und immer links, wie man sieht, rein mit worten lässt sich das nicht gut beschreiben. Kam eben nur auf den ASAs (es wurden 3 geliefert), auf keinem einzigen Siwtch oder Router

wie gesagt, auf der anderen Seite sind stinknormale Winkel mitgeliefert

gibts also für ne ASA die benötigten interfaces nicht damit sie selbst einwählen könnte ?

hm, dachte das man bei solchen Sachen irgendwas mit Object tracking macht um eben solche "niemals downgehenden" interfaces zu umgehen und den Router dazu zu bekommen das backup zu nehmen

standard: immer so nah wie möglich am ziel erweitert: immer soweit wie möglich an der Quelle

werd ich machen :)

niemand ? bislang hat nur jemand gemeint das es für die Kabelführung gehört..allerdings gibts bei der ASA keinerlei Ports ;) abgesehen davn würde eien kabeführung direkt vor irgendwelchen Ports mehr behindern als helfen, imho

Hat jemand ne Ahnung wozu das linke "Winkeleisen" (ist eher ein T Stück) bei der ASA gut ist ? Ist schwer zu erklären, evtl. mach ich ein Foto davon, auf alle Fälle hat der Teil des Eisens das dann "aus dem Rack ragt" 3 weitere Bohrungen, ist aber bei den vormontierten bis jetzt immer auf der linken Seite gewesen