MasterMind 10 Geschrieben 26. März 2004 Melden Teilen Geschrieben 26. März 2004 Hallo, ich versuche einen 1603er dazu zu bringen, NUR bei HTTP, FTP, POP3 ins Internet wählt. Eventuell auch noch nur von einigen IP's aus. Das Problem ist jetzt nur, das der Router in einem reinen Microsoft Netzwerk betrieben werden soll und er durch Broadcasts immer wieder einen B-Kanal auf macht. Ich habe mal die Konfig mit gepostet mit der Hoffunung, das mir jemand weiterhelfen kann.... Vielen Dank schon mal im vorraus. MM ------------------------------------------------------------------------------- ! version 12.0 service timestamps debug uptime service timestamps log uptime !service password-encryption ! hostname Gatebug ! no logging console enable password password ! ip subnet-zero !ip name-server DNS-Server-IP isdn switch-type basic-net3 ! ! ! interface Ethernet0 description connected to EthernetLAN ip address 192.168.1.1 255.255.255.0 no ip directed-broadcast ip nat inside ! interface BRI0 description connected to Internet no ip address no ip directed-broadcast ip nat outside encapsulation ppp dialer rotary-group 1 isdn switch-type basic-net3 no cdp enable ! interface Dialer1 description connected to Internet ip address negotiated no ip directed-broadcast ip nat outside encapsulation ppp no ip route-cache no ip split-horizon no ip mroute-cache dialer in-band dialer idle-timeout 120 either dialer string number-to-call dialer hold-queue 10 dialer load-threshold 80 either dialer-group 1 no cdp enable ppp authentication chap pap callin ppp chap hostname dial-in-username ppp chap password password ppp pap sent-username username password password ppp multilink ! router rip version 2 passive-interface Dialer1 network 192.168.1.0 no auto-summary ! ip nat inside source list 1 interface Dialer1 overload ip classless ip route 0.0.0.0 0.0.0.0 Dialer1 ! access-list 1 permit 192.168.1.0 0.0.0.255 access-list 102 deny udp any eq netbios-dgm any access-list 102 deny udp any eq netbios-ns any access-list 102 deny udp any eq netbios-ss any access-list 102 deny udp any range snmp snmptrap any access-list 102 deny udp any range bootps bootpc any access-list 102 deny tcp any eq 137 any access-list 102 deny tcp any eq 138 any access-list 102 deny tcp any eq 139 any access-list 121 deny udp any eq netbios-dgm any access-list 121 deny udp any eq netbios-ns any access-list 121 deny udp any eq netbios-ss any access-list 121 deny tcp any eq 137 any access-list 121 deny tcp any eq 138 any access-list 121 deny tcp any eq 139 any access-list 121 permit udp any any eq domain access-list 121 permit tcp any any eq www access-list 121 permit tcp any any eq ftp access-list 121 permit tcp any any eq 22 access-list 121 permit tcp any any eq smtp access-list 121 permit tcp any any eq pop3 access-list 121 permit icmp any any dialer-list 1 protocol ip permit ! line con 0 exec-timeout 0 0 password password login transport input none line vty 0 4 password password login ! end -------------------------------------------------------------------------------- Zitieren Link zu diesem Kommentar
Frank04 10 Geschrieben 26. März 2004 Melden Teilen Geschrieben 26. März 2004 Broadcasts glaube ich nicht, ist doch ein Router und der sollte eigentlich keine Broadcasts routen. Eher tippe ich auf Filesharing-Tools alla Kazaa, e-mule. Wenns nicht so viele IP-Adresse sind, kannst Du ja auf jeden Falle eine entsprechende ACL schreiben...testweise. Zitieren Link zu diesem Kommentar
MasterMind 10 Geschrieben 26. März 2004 Autor Melden Teilen Geschrieben 26. März 2004 Hallo Frank04, zur Zeit ist nur Rechner mit dem Router verbunden und der hat 100%ig kein Filesharing Tool drauf. Ich vermute, das es eventuell am public DNS ist, der auf dem Client eingetragen ist. Bin mir aber nicht sicher... Zitieren Link zu diesem Kommentar
scooby 10 Geschrieben 26. März 2004 Melden Teilen Geschrieben 26. März 2004 Hi, folgende ACL sind in dem Router schon drin. heißt im Klartext erlaubt ist DNS FTP Mail www ICMP traffic ist erlaubt. access-list 121 deny udp any eq netbios-dgm any access-list 121 deny udp any eq netbios-ns any access-list 121 deny udp any eq netbios-ss any access-list 121 deny tcp any eq 137 any access-list 121 deny tcp any eq 138 any access-list 121 deny tcp any eq 139 any access-list 121 permit udp any any eq domain access-list 121 permit tcp any any eq www access-list 121 permit tcp any any eq ftp access-list 121 permit tcp any any eq 22 access-list 121 permit tcp any any eq smtp access-list 121 permit tcp any any eq pop3 access-list 121 permit icmp any any ___________________________________ dialer-list 1 protocol ip permit ___________________________________ jetzt sagst du einfach no dialer-list 1 protocol ip permit und dann sagst du dialer-list 1 protcol ip list 121 Jetzt kann nur Traffic oben genannt den Dailer antriggern bzw. den Idle-Timer wieder zurücksetzten. Wenn jetzt irgendwelche anderen Accpilcation in Internet wollen passiert nix. bzw der IDLE Timer wird nicht zurückgesetzt. Zitieren Link zu diesem Kommentar
MasterMind 10 Geschrieben 27. März 2004 Autor Melden Teilen Geschrieben 27. März 2004 Hallo scooby, Jetzt hat der Router gar nichst mehr gemacht. Nicht einmal einen ping vom router selber ! Ich habe dann noch folgendes gemacht: access-list 1 permit 192.168.1.35 0.0.0.0 dialer-list 1 protocol ip list 121 Damit wollte ich das nur die eine IP den Router aktivieren kann. Jetzt funktioniert es zwar ABER er fängt wieder an, sporadisch einen Kanal auf zu bauen mit dem Dial reason: ip (192.168.1.35, d=213.61.0.35). Die public ip ist ein dns server den ich am pc eingetragen habe. Das einzige was auf dem pc aktiv ist, ist ein Terminal zum router und ein Virenscanner der aber auf den Master im internen Netz verweist.... Was könnte noch falsch sein ? Zitieren Link zu diesem Kommentar
scooby 10 Geschrieben 27. März 2004 Melden Teilen Geschrieben 27. März 2004 Hi, verstehe ich nicht warum der Router nicht einfach loswählt wenn man die Access-Listen bearbeitet. Mach folgendes: no access-list 121 dann gibst du die Access-Listen nocheinmal neu ein: access-list 121 permit udp any any eq domain access-list 121 permit tcp any any eq www access-list 121 permit tcp any any eq ftp access-list 121 permit tcp any any eq 22 access-list 121 permit tcp any any eq smtp access-list 121 permit tcp any any eq pop3 access-list 121 permit icmp any any Danach öffnest du den Internet Explorer und versuchst einmal auf eine Internetseite zuzugreifen Wenn es dann immernoch nicht geht poste nocheinmal dein sh run. Zitieren Link zu diesem Kommentar
MasterMind 10 Geschrieben 27. März 2004 Autor Melden Teilen Geschrieben 27. März 2004 Hi scooby, super vielen Dank für deine Hilfe und auch Geduld !!!! Der Router wählt wieder... Das einzige was ich noch nicht herausfinden konnte ist, warum er einen Kanal aufbaut, wenn der PC hoch.- bzw. runter fährt ??? Könntest Du mir vieleicht noch verraten, wie man nur bestimmten IP Adressen erlauben kann, die den Router benutzen dürfen ? Wenn diese zwei Dinge gelöst sind, habe ich meinen wunsch Router zusammen ! Vielen Dank nochmal für deine Hilfe MM P.S. Nachtrag: Habe rausgefunden, das MS xp beim hoch.- bzw. runter ´fahren und während dem Betrieb eine DNS Anfrage macht. Somit wird immer ein Kanal geöffnet. Habe jetzt die access-list domain entfernt und es wird ruhiger. Muss halt jetzt immer nen Ping auf ne public IP machen, damit ich surfen kann... Kennt jemand ne bessere Lösung ? Zitieren Link zu diesem Kommentar
scooby 10 Geschrieben 27. März 2004 Melden Teilen Geschrieben 27. März 2004 Hi, bestimmte IP-Adressen erlauben bzw. verbiete ist relativ einfach. Zur Zeit hast du folgenden Spruch drin: access-list 121 permit tcp any any eq www die zwei Sprüche any any mußt du bearbeiten. Das erste any steht für die Source das nächste any steht für die destination. Heißt du löschst die access-liste 121 wieder und sagst dann z.b. access-list 121 permit 192.168.1.1 0.0.0.255 any eq www Heißt alle Ip-Adressen aus dem Bereich 192.168.1.1 -192.168.1.254 dürfen mit einem port 80 den dailer aktivieren. Alle anderen IP-Adressen haben keinen match und können aus diesem Grunde den dailer nicht anstoßen. Wieso macht der eine DNS-Anfrage. Welchen DNS-Namen will er auflösen? Dann könnte man diesen Namen in der host Datei vom Windows eintragen und im Router diese IP-Adresse blocken bzw. eine private Adresse daraus machen das der Router diese nicht routed. Soll heißen 192.168.1.1 DNS-Namen Dann würde der PC seine Daten an DNS-Namen an 192.168.1.1 schicken. Wenn du dir das mit dem ping ersparen möchtest müßte es auch funktionieren wenn du die IP-Adresse von deiner Standart-Internet Seite nach oben gezeigtem Beispiel in der LSThost unterbringst. So started der keine DNS-Request sondern nimmt aus der host die IP-Adresse. 216.239.57.104 http://www.google.de oder du trägst als startseite deines Internet-Explorer nicht den DNS-Namen ein sondern die IP-Adresse. Eine andere möglichkeit ist du startest dein Mail-Program. In der Access-Listet steht pop3 und snmtp aktiviert den dailer. Das würde auch funktionieren. ich hoffe du verstehst was ich meine. Vielleicht weiß irgendjemand im Forum was der da genau für ein DNS-Request losschickt und wie man den ausschalten kann. Zitieren Link zu diesem Kommentar
MasterMind 10 Geschrieben 28. März 2004 Autor Melden Teilen Geschrieben 28. März 2004 Hi, das mit dem DNS hat sich geklärt. Und zwar habe ich zuhause ein kleines Netzwerk mit Active Directory und der PC ist Mitglied dieser Domäne. Somit will er immer wieder mit dem DC Kontakt aufnehmen. Ich habe jetzt als primären DNS den DC eingetragen und als sekundären den public DNS, somit ist alles wieder in Butter und funktioniert dank deiner Hilfe alles so wie es soll. Nochmals vielen Dank ! Was ich noch machen wollte ist, das ich nur bestimten IP Adressen den Zugriff über den Router erlaube möchte, z.B. 192.168.1.5, 192.168.1.8 und 192.168.1.10. Mit deiner Lösung würde ich ja dem gesamten Netz den Zugriff erlauben. Bin mir nicht sicher, ob das so möglich ist. Damit will ich erreichen, das der DC z.B. keine DNS Anfragen an den Router schickt und der gleich einen Kanal aufbaut sondern erlaubt sein sollen nur die 3 Clients. Für einen Tipp wäre ich wieder sehr dankbar. Zitieren Link zu diesem Kommentar
scooby 10 Geschrieben 28. März 2004 Melden Teilen Geschrieben 28. März 2004 Hi, dann werden dieStatemants ein bischen gößer. Bedeutet: access-list 121 permit udp host 192.168.1.5 any eq domain access-list 121 permit tcp host 192.168.1.5 any eq www access-list 121 permit tcp host 192.168.1.5 any eq ftp access-list 121 permit tcp host 192.168.1.5 any eq 22 access-list 121 permit tcp host 192.168.1.5 any eq smtp access-list 121 permit tcp host 192.168.1.5 any eq pop3 access-list 121 permit icmp host 192.168.1.5 any und dann die access-liste 121 so weiter bearbeiten für jeden host den du es erlauben möchstest das es ihm erlaubt wird die Verbindung aufzubauen. Dir ist aber bewußt wenn eine Internet-Verbindung besteht können alle anderen Cleint auch surfen, solange der IDLE-Timer von den Clients die in derAccss-Listet 121 erwähnt sind wieder erneuert werden. Wenn irgendwann einmal ein Client aus der Access-Liste 121 aufhört zu surfen wird der Idle-Timer nicht wieder zurückgesetzt und der CLient der nicht in der Access-Liste 121 erwähnt ist kann dann auch nicht mehr surfen. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.