grosser1976 10 Geschrieben 5. Mai 2005 Melden Teilen Geschrieben 5. Mai 2005 Hallo, ich bin ziemlich neu in Sachen Cisco-Router konfigurieren und habe jetzt einen 1841 konfiguriert. Vielleicht kann sich mal ein Fachmann die Konfiguration durchschauen und mir noch ein Paar Tipps geben. An dem Router hängt ein Cisco-Switch, über den mehrere PCs aufs Internet zugriff haben. Vielen Dank. PS: Super Board ;) version 12.3 no service pad service tcp-keepalives-in service tcp-keepalives-out service timestamps debug datetime msec localtime show-timezone service timestamps log datetime msec localtime show-timezone service password-encryption service sequence-numbers ! hostname 1841 ! boot-start-marker boot system flash c1841-advsecurityk9-mz.123-11.T3.bin boot-end-marker ! security authentication failure rate 3 log security passwords min-length 6 logging buffered 4096 debugging enable secret 5 XXXXXXXX ! username XXXXXXXXX password 7 XXXXXXXX clock timezone CET 1 clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00 mmi polling-interval 60 no mmi auto-configure no mmi pvc mmi snmp-timeout 180 no aaa new-model ip subnet-zero no ip source-route ip cef ! ! ip inspect name Inspect100 cuseeme ip inspect name Inspect100 ftp ip inspect name Inspect100 h323 ip inspect name Inspect100 netshow ip inspect name Inspect100 rcmd ip inspect name Inspect100 realaudio ip inspect name Inspect100 rtsp ip inspect name Inspect100 smtp ip inspect name Inspect100 sqlnet ip inspect name Inspect100 streamworks ip inspect name Inspect100 tftp ip inspect name Inspect100 tcp ip inspect name Inspect100 udp ip inspect name Inspect100 vdolive ip inspect name Inspect100 icmp ! ! ip ips po max-events 100 no ip bootp server vpdn enable ! vpdn-group 1 request-dialin protocol pppoe ip mtu adjust ! no ftp-server write-enable ! interface Null0 no ip unreachables ! interface FastEthernet0/0 description LAN ip address 192.168.1.1 255.255.255.0 no ip redirects no ip unreachables no ip proxy-arp ip accounting output-packets ip inspect Inspect100 in ip inspect Inspect100 out ip nat inside ip virtual-reassembly no ip route-cache cef ip route-cache flow ip tcp adjust-mss 1452 no ip mroute-cache speed 100 full-duplex no cdp enable no mop enabled ! interface FastEthernet0/1 no ip address no ip redirects no ip unreachables no ip proxy-arp ip route-cache flow shutdown duplex auto speed auto no cdp enable no mop enabled ! interface ATM0/0/0 no ip address no ip redirects no ip unreachables no ip proxy-arp ip route-cache flow no atm ilmi-keepalive dsl operating-mode auto tone low pvc 1/32 pppoe-client dial-pool-number 1 ! ! ------more------ Zitieren Link zu diesem Kommentar
grosser1976 10 Geschrieben 5. Mai 2005 Autor Melden Teilen Geschrieben 5. Mai 2005 ---hier der rest ---- interface Dialer1 description T-DSL ip address negotiated ip access-group 101 in no ip redirects no ip unreachables no ip proxy-arp ip mtu 1492 ip inspect Inspect100 in ip inspect Inspect100 out ip nat outside ip virtual-reassembly encapsulation ppp ip route-cache flow ip tcp adjust-mss 1452 no ip mroute-cache dialer pool 1 dialer-group 1 no cdp enable ppp authentication pap callin ppp pap sent-username xxxxxx@t-online.de password 7 xxxxxxx ppp ipcp dns request ! ip classless ip route 0.0.0.0 0.0.0.0 Dialer1 ! ip http server ip http access-class 1 ip http secure-server ip nat inside source list 1 interface Dialer1 overload ip dns server ! access-list 1 remark IP Nat inside source list access-list 1 remark HTTP Access-class list access-list 1 remark VTY Access-class list access-list 1 permit 192.168.1.0 0.0.0.255 access-list 1 deny any access-list 101 remark access group 101 in access-list 101 deny udp any any eq netbios-dgm access-list 101 deny tcp any any eq 445 access-list 101 deny tcp any any eq 135 access-list 101 deny tcp any any eq 139 access-list 101 deny udp any any eq 135 access-list 101 deny udp any eq netbios-ns any access-list 101 deny udp any eq netbios-dgm any access-list 101 deny udp any eq netbios-ss any access-list 101 deny udp any range snmp snmptrap any access-list 101 deny udp any range bootps bootpc any access-list 101 deny tcp any eq 137 any access-list 101 deny tcp any eq 138 any access-list 101 deny tcp any eq 139 any access-list 101 deny tcp any any eq telnet access-list 101 permit udp any any eq ntp access-list 101 permit icmp any any echo access-list 101 permit icmp any any echo-reply access-list 101 permit udp any any eq domain access-list 101 permit tcp any any eq www access-list 101 permit tcp any any eq ftp-data access-list 101 permit tcp any any eq ftp access-list 101 permit tcp any any eq smtp access-list 101 permit tcp any any eq pop3 access-list 101 permit tcp any any eq 443 access-list 101 permit ip 192.168.1.0 0.0.0.255 any access-list 101 deny ip any any log no cdp run ! ! control-plane ! banner login This is an actively monitored system Unauthorized access prohibited! Dieses System unterliegt einer Ueberwachung Nicht autorisierter Zugriff ist verboten! ! line con 0 login local transport output telnet line aux 0 login local transport output telnet line vty 0 4 access-class 1 in password 7 xxxxxxxxx login local transport input telnet ! scheduler allocate 4000 1000 ntp clock-period 17178592 end Zitieren Link zu diesem Kommentar
grosser1976 10 Geschrieben 5. Mai 2005 Autor Melden Teilen Geschrieben 5. Mai 2005 hab meine access-list 101 schon abgeändert access-list 101 deny udp any any eq netbios-dgm access-list 101 deny tcp any any eq 445 access-list 101 deny tcp any any eq 135 access-list 101 deny tcp any any eq 139 access-list 101 deny udp any any eq 135 access-list 101 deny udp any eq netbios-ns any access-list 101 deny udp any eq netbios-dgm any access-list 101 deny udp any eq netbios-ss any access-list 101 deny udp any range snmp snmptrap any access-list 101 deny udp any range bootps bootpc any access-list 101 deny tcp any eq 137 any access-list 101 deny tcp any eq 138 any access-list 101 deny tcp any eq 139 any access-list 101 deny tcp any any eq telnet access-list 101 deny icmp any any echo access-list 101 deny icmp any any echo-reply access-list 101 permit udp any any eq ntp access-list 101 permit udp any any eq domain access-list 101 permit tcp any any eq www access-list 101 permit tcp any any eq ftp-data access-list 101 permit tcp any any eq ftp access-list 101 permit tcp any any eq smtp access-list 101 permit tcp any any eq pop3 access-list 101 permit tcp any any eq 443 access-list 101 permit ip 192.168.1.0 0.0.0.255 any access-list 101 deny ip any any log Zitieren Link zu diesem Kommentar
tom12 10 Geschrieben 6. Mai 2005 Melden Teilen Geschrieben 6. Mai 2005 Warum aktiviert du nicht die FW ? int fast 0/0 ip inspect Inspect100 in access-list 120 deny ip any any log int d0 ip access-group 120 in Wenn du Telnet, ping auf den Router von aussen öffnen wills, musst du access-list 120 anpassen.. mit "show access-list 120" siehst du wie die ACL dynamisch verändert wird Zitieren Link zu diesem Kommentar
rob_67 10 Geschrieben 9. Mai 2005 Melden Teilen Geschrieben 9. Mai 2005 Hallo, wenn die die Firewall aktivierst solltest du zumindest rückkommende icmps erlauben (Typen können eingeschränkt werden), sonst könnten unter Umständen Infos verlorengehen; die Firewall verändert deine Access-listen nicht für ICMP, bei inspect http habe ich auch schon schlechte Erfahrungen gemacht, es wurden webseiten unvollständig angezeigt, inspect udp und inspect tcp funktioniert dagegen gut (die ganze Geschichte kann auch wieder IOS abhängig sein, habe es auf einem 1600 mit 12.2.28 ios, habe aber gerade gesehen, dass du ein ip inspect icmp dabei hast, also, vergiss es einfach...) Zitieren Link zu diesem Kommentar
grosser1976 10 Geschrieben 9. Mai 2005 Autor Melden Teilen Geschrieben 9. Mai 2005 hi.....danke für die antwort.wie erlaube ich denn die rückkommenden icmps?? und gibt es eine möglichkeit, mitzuloggen, welche internetseite augerufen wurden? mfg Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.