Jump to content

876 und Kabelmoden


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Recommended Posts

Hallo,

 

Ich hab am 876 ein Kabelmodem konfiguriert (von UnityMedia).

 

interface FastEthernet3
switchport access vlan 10
spanning-tree portfast

interface Vlan10
description UnityMedia Kabelmodem
ip address dhcp
no ip redirects
no ip unreachables
no ip proxy-arp
ip flow ingress
ip flow egress
ip nat outside
ip virtual-reassembly
ip route-cache policy
ip tcp adjust-mss 1300
crypto map SDM_CMAP_1

Wenn ich nun im VLan10 die folgende Access-List anbinde, bekomm ich auf dem Interface keine IP mehr.

ip access-list extended AusDemInternet
permit ip 192.168.10.0 0.0.0.255 192.168.11.0 0.0.0.255
permit tcp any any established
permit udp host 0.0.0.0 eq bootpc host 255.255.255.255 eq bootps
deny   ip 10.0.0.0 0.255.255.255 any
deny   ip 172.16.0.0 0.15.255.255 any
deny   ip 192.168.0.0 0.0.255.255 any
deny   ip 127.0.0.0 0.255.255.255 any
deny   ip host 255.255.255.255 any
deny   ip host 0.0.0.0 any
permit esp any any
permit udp any any eq isakmp
permit udp any any eq non500-isakmp
permit gre any any
permit udp any eq domain any
permit tcp any eq domain any
permit icmp any any echo-reply
permit icmp any any time-exceeded
permit icmp any any unreachable
permit udp host 192.53.103.103 eq ntp any
permit udp host 192.53.103.104 eq ntp any
permit udp host 192.53.103.108 eq ntp any
deny   ip any any

Woran fehlt es denn noch? Ich bin etwas ratlos.

Link to comment

Ok. Ich versuch da mal was draus zu machen. Das Kabelmodem vergibt ja auf seinem Ethernetinterface eine IP Adresse per DHCP. Da ich mit der ACL so gar keine IP für den Router bekommen habe, habe ich es damit versucht. Wobei richtig überlegt geht ja der Aufbau von innen aus... Nur warum bekomm ich mit der ACL keine IP mehr ohne aber schon. Implizit wird ja trotzdem alles was von außen kommt und keine established connection darstellt geblockt.

 

Es wär super, wenn ich noch etwas mehr Info bekommen würde.

Link to comment

Du könntest max. noch die IP Adressen der DHCP Server einschränken, aber wenn der ISP was ändert funktionierts erst recht wieder nicht.

Securityseitig bist du hier also dem ISP auf Gedeih und Verderb ausgeliefert :) aber im Normalfall sind die Kunden bei allen Kabelbetreibern mittlerweile separiert und dein NAchbar kann sich nicht als dein DHCP und somit dann auch als GW angeben.

Link to comment

Das mit dem DHCP Server hatte ich mir auch überlegt. Hätte denn überhaupt ein anderer Kunde die Chance unbemerkt auf Broadcasts entsprechend zu reagieren?

 

Schlechter gestellt als vorher bin ich ja auf keinen Fall. Eine FritzBox oder ähnliches würde auch jede entgegengeworfene Adresse annehmen. Und wenn sich schon jemand die Mühe macht einen DHCP Server einzuschleusen, dann kann er sicher auch die Absenderadresse entsprechend modifizieren.

Link to comment

das war früher ind en Kabelnetzen immer weider n Problem, da konnten ja die Kunden die in einem Segment waren auchauf Shares der anderen zugreifen etc. Und da wäre natürlich auch das betreiben eines eigenen DHCPs problemlos möglich gewesen und schon kann ein "interessierter" Kabelkunde sämtlichen Traffic über sich schleifen und mithören sofern unverschlüsselt.

Link to comment
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...