Jump to content
Sign in to follow this  
stoffel_hessen

access-list 121 deny tcp host 192.168.0.251 host 208.65.153.238 greift nicht

Recommended Posts

Hallo zusammen,

 

ich habe noch ein kleines Problem mit den AccessListen.

Ich möchte für einen Client in lokalen Netzwerk IP-Adressen im Internet Sperren.

 

Ich habe folgende Konfiguration.

 

interface Dialer1

ip address negotiated

ip access-group 111 in

ip access-group 121 out

ip mtu 1492

ip nat outside

ip inspect myfw out

ip virtual-reassembly

encapsulation ppp

ip tcp adjust-mss 1452

dialer pool 1

dialer remote-name redback

dialer-group 1

ppp authentication pap chap callin

...

 

access-list 102 permit ip 192.168.0.0 0.0.0.255 any

access-list 111 permit udp any eq domain any

access-list 111 deny ip any any

access-list 121 deny tcp host 192.168.0.251 host 208.65.153.238

access-list 121 deny tcp host 192.168.0.251 host 208.65.153.251

access-list 121 deny tcp host 192.168.0.251 host 208.65.153.253

access-list 121 permit tcp any any eq www

access-list 121 permit tcp any any eq pop3

access-list 121 permit tcp any any eq smtp

access-list 121 permit tcp any any eq domain

access-list 121 permit udp any any eq domain

access-list 121 permit tcp any any eq 81

access-list 121 permit tcp any any eq ftp-data

access-list 121 permit tcp any any eq ftp

access-list 121 permit udp any any eq time

access-list 121 permit tcp any any eq 37

access-list 121 permit tcp any any eq nntp

access-list 121 permit tcp any any eq 443

access-list 121 permit tcp any any eq 465

access-list 121 permit tcp any any eq 123

access-list 121 permit tcp any any eq 995

access-list 121 permit tcp any any eq 3000

access-list 121 deny ip any any

 

Die Zieladressen 208.65.153.238, 208.65.153.251, 208.65.153.253 sind von diesem Host immer noch erreichbar.

 

Wenn ich diese 3 Zeilen

access-list 121 deny tcp host 192.168.0.251 host 208.65.153.253

access-list 121 deny tcp host 192.168.0.251 host 208.65.153.251

access-list 121 deny tcp host 192.168.0.251 host 208.65.153.240

 

durch diese ersetze

 

access-list 121 deny tcp any host 208.65.153.253

access-list 121 deny tcp any host 208.65.153.238

access-list 121 deny tcp any host 208.65.153.251

 

sind die Adressen im ganzen Netz nicht mehr erreichbar.

 

Was habe ich falsch gemacht.

 

Ist ein Cosco 836

 

Danke für die Hilfe

Share this post


Link to post
Share on other sites

ich vermute eher, das es durch das NAT kommt - an der stelle hat er nicht mehr die 192... - setzte doch mal bei der access-list 121 deny tcp any host 208.65.153.253 nen LOG dahinter und schau was er da wirlich blockt...

Share this post


Link to post
Share on other sites

Probier mal so ich denke du hast einen fehle in den host bits der wild cards ich mein es müßte so aussehen

access-list 121 deny tcp host 192.168.0.251 0.0.0.0 host 208.65.153.253 0.0.0.0 eq 80

access-list 121 deny tcp host 192.168.0.251 0.0.0.0 host 208.65.153.251 0.0.0.0 eq 80

access-list 121 deny tcp host 192.168.0.251 0.0.0.0 host 208.65.153.240 0.0.0.0 eq 80

 

und tip Extended acls werden immer so na wie möglich an der quelle gesetzt im gegensatz zu Standrad acl also brenne die ACL auf dein lan interface " ethernet" access-class 121 in

Share this post


Link to post
Share on other sites

so funkts auf keinen fall

 

"host" entspricht den "0.0.0.0" und doppelt hält bei cisco sicher nicht besser...

 

und wie bereits von blackbox angesprochen passiert das nat bevor der router die acl's abhandelt

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...