Jump to content

Einige Fragen zu Access-Lists


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

 

ich hab mich heute den halben Tag mit Access-Lists rumgeschlagen und hab da nun noch so einige ungeklärte Fragen.

 

Zuerst nun mal meine momentane Config.

 

!

version 12.2

no service pad

service timestamps debug datetime msec

service timestamps log datetime msec

service password-encryption

!

hostname Router

!

boot system flash c800-k9osy6-mw.122-15.T12.bin

logging queue-limit 100

logging buffered 64000 debugging

enable secret 5 xxxxx

!

!

!

ip subnet-zero

ip name-server 194.97.173.125

ip name-server 194.97.173.124

!

vpdn enable

!

vpdn-group 1

request-dialin

protocol pppoe

ip mtu adjust

!

isdn switch-type basic-net3

isdn voice-call-failure 0

!

!

!

!

!

!

interface Ethernet0

ip address 192.168.0.1 255.255.255.0

ip nat inside

ip tcp adjust-mss 1452

pppoe enable

pppoe-client dial-pool-number 1

no keepalive

!

interface BRI0

no ip address

shutdown

isdn switch-type basic-net3

!

interface Dialer1

description T-DSL - Anschluss

ip address negotiated

ip mtu 1454

ip nat outside

encapsulation ppp

ip tcp adjust-mss 1452

no ip mroute-cache

dialer pool 1

dialer idle-timeout 600

dialer-group 1

no cdp enable

ppp authentication chap pap callin

ppp chap hostname xxxxx

ppp chap password 7 xxxxx

ppp pap sent-username xxxxx password 7 xxxxx

!

ip nat inside source list 101 interface Dialer1 overload

ip nat inside source static udp 192.168.0.4 4680 interface Dialer1 4680

ip nat inside source static tcp 192.168.0.4 1024 interface Dialer1 1024

ip classless

ip route 0.0.0.0 0.0.0.0 Dialer1

no ip http server

no ip http secure-server

!

!

access-list 101 permit tcp 192.168.0.0 0.0.0.255 any eq www

access-list 101 permit tcp 192.168.0.0 0.0.0.255 any eq ftp

access-list 101 permit tcp 192.168.0.0 0.0.0.255 any eq pop3

access-list 101 permit tcp 192.168.0.0 0.0.0.255 any eq smtp

access-list 101 permit udp 192.168.0.0 0.0.0.255 any eq domain

access-list 101 permit tcp 192.168.0.0 0.0.0.255 any eq 5190

access-list 101 permit tcp 192.168.0.0 0.0.0.255 any eq 4661

access-list 101 permit tcp 192.168.0.0 0.0.0.255 any eq 4242

access-list 101 permit tcp 192.168.0.0 0.0.0.255 any eq 1024

access-list 101 permit udp 192.168.0.0 0.0.0.255 any eq 4680

access-list 102 permit ip any any

dialer-list 1 protocol ip list 102

!

!

line con 0

stopbits 1

line vty 0 4

password 7 xxxxx

login

!

no rcapi server

!

!

end

 

1. Frage:

Hab ich es richtig verstanden, dass ich mittels "ip nat inside source list 101 interface Dialer1 overload" dem Router sage, dass er eine Verbindung aufbauen soll, wenn Traffic anliegt, der mit den Access-Lists 101 übereinstimmen?

 

Aber diese Angaben unter 101 haben doch auch Einfluss darauf, welcher Traffic erlaubt ist, oder?

 

2. Frage:

Ich bekomme es nicht hin, dass der Router nach den eingestellten 600 Sekunden die Verbindung kappt. Auch nicht, wenn ich alle Rechner im LAN abschalte. Woran liegt das?

 

3. Frage:

Was hat es mit "dialer-list 1 protocol ip list 102" auf sich? Sage ich damit dem Router, was alles ins Inet darf? Oder was alles ausm Inet rein darf?

 

4. Frage

Hat wahrscheinlich nicht direkt was mit den Access-Lists zutun. Nach 24 Stunden wird ja vom Provider die Connection gekillt. Wenn das der Fall ist, baut der Router keine neue Verbindung auf. Was kann ich dagegen tun?

 

- - - - - - -

 

Im Gesamten bin ich noch recht verwirrt, wie die ganzen Access-Lists ineinander greifen und wäre euch sehr dankbar, wenn ihr mir da mal auf die Sprünge helfen würdet.

 

Gruß EvilFlare

Link zu diesem Kommentar

-Hi,

 

ich versuche mal mein Glück und versuche dir deine Fragen zu erklären:

1. Frage:

Hab ich es richtig verstanden, dass ich mittels "ip nat inside source list 101 interface Dialer1 overload" dem Router sage, dass er eine Verbindung aufbauen soll, wenn Traffic anliegt, der mit den Access-Lists 101 übereinstimmen?

 

Aber diese Angaben unter 101 haben doch auch Einfluss darauf, welcher Traffic erlaubt ist, oder?

 

--------------------------------------------

Damit wird gesagt welche Traffic von außen nach innen geblockt oder durch gelassen werden soll.

 

------------------------------------------------------

2. Frage:

Ich bekomme es nicht hin, dass der Router nach den eingestellten 600 Sekunden die Verbindung kappt. Auch nicht, wenn ich alle Rechner im LAN abschalte. Woran liegt das?

-----------------------------------------------------------------

 

Da du dein Statemant:

 

access-list 102 permit ip any any

dialer-list 1 protocol ip list 102

wählt der Router einfach los, sobald er ein Interesset Traffic sieht. Soll heißen wenn du z.b. sagst

dialer-list 1 protocol ip list 101 dann würde der router nur wählen wenn in der access-list 101 ein statemant passt.

 

------------------------------------------------------

 

3. Frage:

Was hat es mit "dialer-list 1 protocol ip list 102" auf sich? Sage ich damit dem Router, was alles ins Inet darf? Oder was alles ausm Inet rein darf?

------------------------------------------------

Siehe oben damit wird gesagt welcher traffic den dialer antiggern soll.

-------------------------------------------------

4. Frage

Hat wahrscheinlich nicht direkt was mit den Access-Lists zutun. Nach 24 Stunden wird ja vom Provider die Connection gekillt. Wenn das der Fall ist, baut der Router keine neue Verbindung auf. Was kann ich dagegen tun?

-----------------------------------------------

Hat schon etwas mit den access-listen zu tun. wenn kein interesst traffic anliegt wird er keine neue Verbindung aufbauen.

 

Ich hoffe ich konnte ein bischen licht ins dunkel bringen.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...