Jump to content
Sign in to follow this  
EvilFlare

Einige Fragen zu Access-Lists

Recommended Posts

Hallo,

 

ich hab mich heute den halben Tag mit Access-Lists rumgeschlagen und hab da nun noch so einige ungeklärte Fragen.

 

Zuerst nun mal meine momentane Config.

 

!

version 12.2

no service pad

service timestamps debug datetime msec

service timestamps log datetime msec

service password-encryption

!

hostname Router

!

boot system flash c800-k9osy6-mw.122-15.T12.bin

logging queue-limit 100

logging buffered 64000 debugging

enable secret 5 xxxxx

!

!

!

ip subnet-zero

ip name-server 194.97.173.125

ip name-server 194.97.173.124

!

vpdn enable

!

vpdn-group 1

request-dialin

protocol pppoe

ip mtu adjust

!

isdn switch-type basic-net3

isdn voice-call-failure 0

!

!

!

!

!

!

interface Ethernet0

ip address 192.168.0.1 255.255.255.0

ip nat inside

ip tcp adjust-mss 1452

pppoe enable

pppoe-client dial-pool-number 1

no keepalive

!

interface BRI0

no ip address

shutdown

isdn switch-type basic-net3

!

interface Dialer1

description T-DSL - Anschluss

ip address negotiated

ip mtu 1454

ip nat outside

encapsulation ppp

ip tcp adjust-mss 1452

no ip mroute-cache

dialer pool 1

dialer idle-timeout 600

dialer-group 1

no cdp enable

ppp authentication chap pap callin

ppp chap hostname xxxxx

ppp chap password 7 xxxxx

ppp pap sent-username xxxxx password 7 xxxxx

!

ip nat inside source list 101 interface Dialer1 overload

ip nat inside source static udp 192.168.0.4 4680 interface Dialer1 4680

ip nat inside source static tcp 192.168.0.4 1024 interface Dialer1 1024

ip classless

ip route 0.0.0.0 0.0.0.0 Dialer1

no ip http server

no ip http secure-server

!

!

access-list 101 permit tcp 192.168.0.0 0.0.0.255 any eq www

access-list 101 permit tcp 192.168.0.0 0.0.0.255 any eq ftp

access-list 101 permit tcp 192.168.0.0 0.0.0.255 any eq pop3

access-list 101 permit tcp 192.168.0.0 0.0.0.255 any eq smtp

access-list 101 permit udp 192.168.0.0 0.0.0.255 any eq domain

access-list 101 permit tcp 192.168.0.0 0.0.0.255 any eq 5190

access-list 101 permit tcp 192.168.0.0 0.0.0.255 any eq 4661

access-list 101 permit tcp 192.168.0.0 0.0.0.255 any eq 4242

access-list 101 permit tcp 192.168.0.0 0.0.0.255 any eq 1024

access-list 101 permit udp 192.168.0.0 0.0.0.255 any eq 4680

access-list 102 permit ip any any

dialer-list 1 protocol ip list 102

!

!

line con 0

stopbits 1

line vty 0 4

password 7 xxxxx

login

!

no rcapi server

!

!

end

 

1. Frage:

Hab ich es richtig verstanden, dass ich mittels "ip nat inside source list 101 interface Dialer1 overload" dem Router sage, dass er eine Verbindung aufbauen soll, wenn Traffic anliegt, der mit den Access-Lists 101 übereinstimmen?

 

Aber diese Angaben unter 101 haben doch auch Einfluss darauf, welcher Traffic erlaubt ist, oder?

 

2. Frage:

Ich bekomme es nicht hin, dass der Router nach den eingestellten 600 Sekunden die Verbindung kappt. Auch nicht, wenn ich alle Rechner im LAN abschalte. Woran liegt das?

 

3. Frage:

Was hat es mit "dialer-list 1 protocol ip list 102" auf sich? Sage ich damit dem Router, was alles ins Inet darf? Oder was alles ausm Inet rein darf?

 

4. Frage

Hat wahrscheinlich nicht direkt was mit den Access-Lists zutun. Nach 24 Stunden wird ja vom Provider die Connection gekillt. Wenn das der Fall ist, baut der Router keine neue Verbindung auf. Was kann ich dagegen tun?

 

- - - - - - -

 

Im Gesamten bin ich noch recht verwirrt, wie die ganzen Access-Lists ineinander greifen und wäre euch sehr dankbar, wenn ihr mir da mal auf die Sprünge helfen würdet.

 

Gruß EvilFlare

Share this post


Link to post

-Hi,

 

ich versuche mal mein Glück und versuche dir deine Fragen zu erklären:

1. Frage:

Hab ich es richtig verstanden, dass ich mittels "ip nat inside source list 101 interface Dialer1 overload" dem Router sage, dass er eine Verbindung aufbauen soll, wenn Traffic anliegt, der mit den Access-Lists 101 übereinstimmen?

 

Aber diese Angaben unter 101 haben doch auch Einfluss darauf, welcher Traffic erlaubt ist, oder?

 

--------------------------------------------

Damit wird gesagt welche Traffic von außen nach innen geblockt oder durch gelassen werden soll.

 

------------------------------------------------------

2. Frage:

Ich bekomme es nicht hin, dass der Router nach den eingestellten 600 Sekunden die Verbindung kappt. Auch nicht, wenn ich alle Rechner im LAN abschalte. Woran liegt das?

-----------------------------------------------------------------

 

Da du dein Statemant:

 

access-list 102 permit ip any any

dialer-list 1 protocol ip list 102

wählt der Router einfach los, sobald er ein Interesset Traffic sieht. Soll heißen wenn du z.b. sagst

dialer-list 1 protocol ip list 101 dann würde der router nur wählen wenn in der access-list 101 ein statemant passt.

 

------------------------------------------------------

 

3. Frage:

Was hat es mit "dialer-list 1 protocol ip list 102" auf sich? Sage ich damit dem Router, was alles ins Inet darf? Oder was alles ausm Inet rein darf?

------------------------------------------------

Siehe oben damit wird gesagt welcher traffic den dialer antiggern soll.

-------------------------------------------------

4. Frage

Hat wahrscheinlich nicht direkt was mit den Access-Lists zutun. Nach 24 Stunden wird ja vom Provider die Connection gekillt. Wenn das der Fall ist, baut der Router keine neue Verbindung auf. Was kann ich dagegen tun?

-----------------------------------------------

Hat schon etwas mit den access-listen zu tun. wenn kein interesst traffic anliegt wird er keine neue Verbindung aufbauen.

 

Ich hoffe ich konnte ein bischen licht ins dunkel bringen.

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...