-= Brummbär =- 10 Posted February 6, 2011 Report Share Posted February 6, 2011 Hallo, Ich hab am 876 ein Kabelmodem konfiguriert (von UnityMedia). interface FastEthernet3 switchport access vlan 10 spanning-tree portfast interface Vlan10 description UnityMedia Kabelmodem ip address dhcp no ip redirects no ip unreachables no ip proxy-arp ip flow ingress ip flow egress ip nat outside ip virtual-reassembly ip route-cache policy ip tcp adjust-mss 1300 crypto map SDM_CMAP_1 Wenn ich nun im VLan10 die folgende Access-List anbinde, bekomm ich auf dem Interface keine IP mehr. ip access-list extended AusDemInternet permit ip 192.168.10.0 0.0.0.255 192.168.11.0 0.0.0.255 permit tcp any any established permit udp host 0.0.0.0 eq bootpc host 255.255.255.255 eq bootps deny ip 10.0.0.0 0.255.255.255 any deny ip 172.16.0.0 0.15.255.255 any deny ip 192.168.0.0 0.0.255.255 any deny ip 127.0.0.0 0.255.255.255 any deny ip host 255.255.255.255 any deny ip host 0.0.0.0 any permit esp any any permit udp any any eq isakmp permit udp any any eq non500-isakmp permit gre any any permit udp any eq domain any permit tcp any eq domain any permit icmp any any echo-reply permit icmp any any time-exceeded permit icmp any any unreachable permit udp host 192.53.103.103 eq ntp any permit udp host 192.53.103.104 eq ntp any permit udp host 192.53.103.108 eq ntp any deny ip any any Woran fehlt es denn noch? Ich bin etwas ratlos. Quote Link to comment
Otaku19 33 Posted February 6, 2011 Report Share Posted February 6, 2011 permit udp host 0.0.0.0 eq bootpc host 255.255.255.255 eq bootps = Käse Quote Link to comment
-= Brummbär =- 10 Posted February 6, 2011 Author Report Share Posted February 6, 2011 Ok. Ich versuch da mal was draus zu machen. Das Kabelmodem vergibt ja auf seinem Ethernetinterface eine IP Adresse per DHCP. Da ich mit der ACL so gar keine IP für den Router bekommen habe, habe ich es damit versucht. Wobei richtig überlegt geht ja der Aufbau von innen aus... Nur warum bekomm ich mit der ACL keine IP mehr ohne aber schon. Implizit wird ja trotzdem alles was von außen kommt und keine established connection darstellt geblockt. Es wär super, wenn ich noch etwas mehr Info bekommen würde. Quote Link to comment
Gulaschkanone 10 Posted February 7, 2011 Report Share Posted February 7, 2011 Soweit ich noch weiß, vergeben die Kabelmodems ersteinmal eine IP aus dem 192.x.x.x bereich und dann bei zweiten mal erst die eigentliche IP, vielleicht liegt es daran. Quote Link to comment
-= Brummbär =- 10 Posted February 7, 2011 Author Report Share Posted February 7, 2011 Ohne ACL sehe ich auf dem Interface direkt die externe IP. Das heißt natürlich nicht, dass es nicht vorher eine andere war. Wie könnte ich das prüfen? Quote Link to comment
Wordo 11 Posted February 7, 2011 Report Share Posted February 7, 2011 Otaku hats doch schon geschrieben, deine ACL verbietet DHCP. Quote Link to comment
Otaku19 33 Posted February 7, 2011 Report Share Posted February 7, 2011 btw Kabelmodems sind normalerweise L2/Medienumsetzer, sonst nichts weiter, die IP bekomtm man vom DHCP des ISP Quote Link to comment
-= Brummbär =- 10 Posted February 7, 2011 Author Report Share Posted February 7, 2011 permit udp any eq bootps any eq bootpc Sieht doch alles gleich viel besser aus. Merci für die Denkanstöße und den Aufschnitt ;-) Quote Link to comment
Otaku19 33 Posted February 8, 2011 Report Share Posted February 8, 2011 Du könntest max. noch die IP Adressen der DHCP Server einschränken, aber wenn der ISP was ändert funktionierts erst recht wieder nicht. Securityseitig bist du hier also dem ISP auf Gedeih und Verderb ausgeliefert :) aber im Normalfall sind die Kunden bei allen Kabelbetreibern mittlerweile separiert und dein NAchbar kann sich nicht als dein DHCP und somit dann auch als GW angeben. Quote Link to comment
-= Brummbär =- 10 Posted February 8, 2011 Author Report Share Posted February 8, 2011 Das mit dem DHCP Server hatte ich mir auch überlegt. Hätte denn überhaupt ein anderer Kunde die Chance unbemerkt auf Broadcasts entsprechend zu reagieren? Schlechter gestellt als vorher bin ich ja auf keinen Fall. Eine FritzBox oder ähnliches würde auch jede entgegengeworfene Adresse annehmen. Und wenn sich schon jemand die Mühe macht einen DHCP Server einzuschleusen, dann kann er sicher auch die Absenderadresse entsprechend modifizieren. Quote Link to comment
Otaku19 33 Posted February 8, 2011 Report Share Posted February 8, 2011 das war früher ind en Kabelnetzen immer weider n Problem, da konnten ja die Kunden die in einem Segment waren auchauf Shares der anderen zugreifen etc. Und da wäre natürlich auch das betreiben eines eigenen DHCPs problemlos möglich gewesen und schon kann ein "interessierter" Kabelkunde sämtlichen Traffic über sich schleifen und mithören sofern unverschlüsselt. Quote Link to comment
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.