kanalracer 10 Geschrieben 19. Januar 2004 Melden Teilen Geschrieben 19. Januar 2004 Hallo, ich habe es mit Mühe und Not und eurer sehr guten Hilfe geschafft, meinen Cisco 801 zu konfigurieren. :) Jetzt ist aber ein neues Problem aufgetaucht. Wenn ich einen PC unter Windows 2000 boote, wählt sich der Router zu meinem ISP ein und legt nach der idle time wieder auf. Wie sollte eigentlich ein gute accesslist aussehen. Ich möchte mit vier PC´s mit festen IP-Addressen (192.168.1.10 - 13) nur mit dem Internetexplorer surfen und evtl mal mit TFTP auf einen Server zugreifen. Die Addresse vom Router ist 192.168.1.1. Was muß ich verbieten, bzw. erlauben um die Telefonkosten für unbeabsichtigte Einwahlen so niedrig wie möglich zu halten? Gruß Jürgen Zitieren Link zu diesem Kommentar
scooby 10 Geschrieben 19. Januar 2004 Melden Teilen Geschrieben 19. Januar 2004 Hi, also zur Zeit sagte deine access-liste aus das jede Anrage dazu führt das sich der Router mit dem Internet verbindet. Aus diesem Grunde würde ich in die Access-liste reinschreiben: access-list 101 permit tcp any any eq www vergiss nicht die access-liste 101 bevor du das dazufügst du löschen. Jedesmal wenn jetzt traffic erzeugt wid mit port 80 wird der Router loswählen. Was acuh nicht schlecht wäre folgende sachen mit rein zu bringen: access-list 101 permit udp any any eq domain access-list 101 permit tcp any any eq smtp access-list 101 permit tcp any any eq pop3 Zitieren Link zu diesem Kommentar
kanalracer 10 Geschrieben 19. Januar 2004 Autor Melden Teilen Geschrieben 19. Januar 2004 Hi, wäre das eine sinnvolle Lösung? access-list 101 permit ip 192.168.1.0 0.0.0.255 any access-list 102 deny udp any eq netbios-dgm any access-list 102 deny udp any eq netbios-ns any access-list 102 deny udp any eq netbios-ss any access-list 102 deny udp any range snmp snmptrap any access-list 102 deny udp any range bootps bootpc any access-list 102 deny tcp any eq 137 any access-list 102 deny tcp any eq 138 any access-list 102 deny tcp any eq 139 any access-list 102 permit tcp any any eq www access-list 102 permit udp any any eq domain access-list 102 permit tcp any any eq smtp access-list 102 permit tcp any any eq pop3 dialer-list 1 protocol ip list 102 Gruß Jürgen Zitieren Link zu diesem Kommentar
scooby 10 Geschrieben 19. Januar 2004 Melden Teilen Geschrieben 19. Januar 2004 Hi, nein.. du sagst in der ersten zeile: access-list 101 permit ip 192.168.1.0 0.0.0.255 any das heißt jeder pc egal was er sendet ist für den dailer interessant. also fängt der router schon an zu wählen egal was danach kommt.. du mußt nur sagen wann der router wählen soll. das heißt: access-list 101 permit tcp any any eq www access-list 101 permit udp any any eq domain access-list 101 permit tcp any any eq smtp access-list 101 permit tcp any any eq pop3 wegen denn access-listen 102 das dort bestimmst du was alles nach außen gesendet werden soll. das heißt du kannst jetzt nur www domain smtp pop3. das heißt du blockst damit ftp tftp etc. access-list 102 deny udp any eq netbios-dgm any access-list 102 deny udp any eq netbios-ns any access-list 102 deny udp any eq netbios-ss any access-list 102 deny udp any range snmp snmptrap any access-list 102 deny udp any range bootps bootpc any access-list 102 deny tcp any eq 137 any access-list 102 deny tcp any eq 138 any access-list 102 deny tcp any eq 139 any access-list 102 permit ip any any dialer-list 1 protocol ip list 102 so mußt du es ändern. Sonst macht es keinen Sinn. Zitieren Link zu diesem Kommentar
kanalracer 10 Geschrieben 20. Januar 2004 Autor Melden Teilen Geschrieben 20. Januar 2004 hi, habe ich das richtig verstanden, das die accessliste 101 für das ISDN Interface zwecks Wahl zuständig ist. nd ist die accessliste 102 grundsätzlich für die Daten die den Router verlassen zuständig? Oder bedarf es hier noch weiterer Befehle? Dies ist meine jetzige config für diesen Bereich: ip nat inside source list 101 interface Dialer1 overload no ip http server ip classless ip route 0.0.0.0 0.0.0.0 Dialer1 ! access-list 101 permit ip 192.168.1.0 0.0.0.255 any access-list 102 deny udp any eq netbios-dgm any access-list 102 deny udp any eq netbios-ns any access-list 102 deny udp any eq netbios-ss any access-list 102 deny udp any range snmp snmptrap any access-list 102 deny udp any range bootps bootpc any access-list 102 deny tcp any eq 137 any access-list 102 deny tcp any eq 138 any access-list 102 deny tcp any eq 139 any access-list 102 permit ip any any access-list 101 permit tcp any any eq www access-list 101 permit udp any any eq domain access-list 101 permit tcp any any eq smtp access-list 101 permit tcp any any eq pop3 dialer-list 1 protocol ip list 102 ! Kann das so bleiben und entspricht meine o.g. Annahme der Wirklichkeit? Gruß Jürgen Zitieren Link zu diesem Kommentar
scooby 10 Geschrieben 20. Januar 2004 Melden Teilen Geschrieben 20. Januar 2004 Hi, du hast es genau richtig verstanden. die Access-Liste 101 sagt wann der Router loswählen darf und die Accessliste 102 sagt welche Datein der Router nach außen senden oder nocht senden darf. Nur ist immernoch ein kleiner Fehler in der Access-lsite 101. Das erste statmant ist access-list 101 permit ip 192.168.1.0 0.0.0.255 any damit ist egal was du danach sagst, alle anfragen aus dem 192.168.1.0 Netz egal ob Broadcast oder ein Program will etwas ins Inernet schicken bringt den Router dazu los zu wählen. Zitieren Link zu diesem Kommentar
kanalracer 10 Geschrieben 21. Januar 2004 Autor Melden Teilen Geschrieben 21. Januar 2004 Hi, es scheint jetzt alles zu funktionieren. Nochmals Danke, denn ohne Eure Hilfe würde ich wohl noch immer verzweifeln. Andere Frage: Passt dieses RAM auch in einen Cisco 801? http://cgi.ebay.de/ws/eBayISAPI.dll?ViewItem&item=3072682595&category=3706 Gruß Jürgen Zitieren Link zu diesem Kommentar
scooby 10 Geschrieben 21. Januar 2004 Melden Teilen Geschrieben 21. Januar 2004 Nee, für den 800 gibt es anderen Speicher. Dar aht 3 Zacken unten und nicht nur 1 wie dieser Speicher. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.