Jump to content
Sign in to follow this  
Ciscler

Frage zu Access Liste

Recommended Posts

Hallo,

 

habe eine IPSEC Verbindung zwischen 2. Standorten mit GRE Tunnel.

Bisher haben wir es immer so gemacht das eine ACL auf dem Dialer Interface gebunden wird. Also es darf nur rein udp 500, esp sprich protokoll nummer 50 und die IP Adressen der Endpunkte des GRE Tunnels.

 

acl number 3001

rule 0 permit udp destination-port eq 500

rule 1 permit 50

rule 2 permit gre source 10.240.25.48 0 destination 10.240.25.32 0

 

Nun möchte ich aber dennoch über diesen Router surfen sprich es gibt eine default route auf den dialer 1. Nur wie mache es nun sicher? Weil um surfen zu können muss ich in der acl number 3001 noch die rule:

rule 3 permit ip source 192.168.0.0 0.0.0.255 destination 192.168.0.0 0.0.0.255

 

sorry das ist ein Ausschnitt der ACL eines 3Com 3035 Routers der eine IPSEC/GRE Verbindung zu einen Cisco 1841 aufbaut. Aber das ist ja eigentlich egal irgendwie fehlt mir der Gedanken Schritt.

 

Danke für alle Antworten

 

Gruß Dirk

Share this post


Link to post
Share on other sites

Hallo,

 

also ich möchte zusätzlich surfen habe also port 80 freigegeben klappt aber nicht.

Muss ich noch irgendeinen port freigeben damit ich ganz normal surfen kann?

Oder kann mir jemand evtl. aus seiner acl was posten wo das selbe erlaubt wurde?

 

Gruß Dirk

Share this post


Link to post
Share on other sites

Hallo,

 

ja es lag am DNS :cool: danke für die schnelle Antwort.

Aber was ist eigentlich sicherer wirklich Ports offen machen z.B. Ports für http, smtp, pop3 usw. oder einfach tcp established erlauben?

 

Ich kann doch besser hingehen und auf dem Dialer für einkommende Pakete eine ACL mit tcp established anlegen und zusätlich noch eine ACL anlegen die ich dann auf das Ethernet Interface binde. Und auf dem Ethernet Interface nur bestimmte ports erlaube.

 

Gruß Dirk

Share this post


Link to post
Share on other sites

Hm, hab irgendwie Mist gebaut beim Einfügen des Links vorhin... hab meinen Beitrag entsprechend ergänzt. Der Vorteil liegt darin, dass Antwortverkehr dynamisch erlaubt werden kann und z.B. nicht allgemein HTTP oder tcp established erlaubt werden muss.

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...