Jump to content

Firewall on Cisco 800 er


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

 

ich habe vor einigen Tagen mal angefangen mich mit dem Thema Cisco etwas genauer zu beschäftigen. Ich benutze einen Router Cisco 803 mit dem IOS:

IOS C800 Software (C800-K8OSY6-MW), Version 12.2(13)T

 

eingerichtet habe ich darauf folgendes:

- lokales Netzerk mit vergabe von DHCP-Adressen - 192.168.12.0

- DSL Einwahl über vpdn und pppoe

- später soll es mal möglich sein von außen per ISDN eine Einwahl auf diesem Router zu ermöglichen und auch über diese Einwahl den DSL Zugang zu nutzen (ansatzweise Dialer2)

- außerdem sind halt die pots eingerichtet + rcapi (funktioniert auch)

 

Woran ich nun gescheitert bin ist das Einrichten der Access-Lists - bzw. Firewall. Wenn ich die Config mit den ACL's so wie ich es mir vorstellte startete konnte ich leider gar nicht mehr mit dem I-Net kommunizieren.

 

Deshalb frage ich ganz unbeleckt, wie sollten entsprechende Access-Lists aussehen?

 

aktuelle Config:

!

version 12.2

no service pad

service timestamps debug uptime

service timestamps log uptime

service password-encryption

!

hostname "AI-NET-RAS"

!

boot system flash c800-k8osy6-mw.122-13.T.bin

enable secret 5 XXX

!

username master password 7 XXX

!

dial-peer voice 1 pots

no caller-id

no forward-to-unused-port

no call-waiting

ring 0

no silent-fax

registered-caller ring 1

port 1

volume 3

destination-pattern yyy

!

dial-peer voice 2 pots

no caller-id

no forward-to-unused-port

no call-waiting

ring 0

no silent-fax

registered-caller ring 1

port 2

volume 3

!

pots country DE

!

ip subnet-zero

ip dhcp excluded-address 192.168.12.1 192.168.12.49

ip dhcp excluded-address 192.168.12.60 192.168.12.254

!

ip dhcp pool 1

network 192.168.12.0 255.255.255.0

domain-name AI-HOMEZONE

default-router 192.168.12.100

dns-server 62.104.191.241

!

no ip domain lookup

ip name-server 194.25.2.129

vpdn enable

!

vpdn-group 1

request-dialin

protocol pppoe

ip mtu adjust

!

isdn switch-type basic-net3

!

!

!

!

interface Ethernet0

description connected to AI-HOMEZONE

ip address 192.168.12.100 255.255.255.0

ip nat inside

ip tcp adjust-mss 1452

pppoe enable

pppoe-client dial-pool-number 1

no keepalive

!

interface BRI0

description connected to Dial-inPCs(ISDN),Internet

no ip address

encapsulation ppp

dialer pool-member 2

isdn switch-type basic-net3

isdn voice-priority 30602 out always

isdn voice-priority 30602 in always

isdn voice-priority 30415 out always

isdn voice-priority 30415 in always

isdn incoming-voice modem

!

interface Dialer1

description T-DSL - Anschluss

ip address negotiated

ip mtu 1492

ip nat outside

encapsulation ppp

ip tcp adjust-mss 1452

no ip mroute-cache

dialer pool 1

dialer-group 1

no cdp enable

ppp authentication pap callin

ppp pap sent-username XXX

!

interface Dialer2

description connected to Dial-inPCs(ISDN)

ip address 10.0.0.1 255.255.0.0

ip nat inside

encapsulation ppp

no ip split-horizon

dialer pool 2

dialer remote-name Dial-inPCs(ISDN)

dialer-group 1

peer default ip address pool AI-NET-RAS-Group-2

no cdp enable

ppp authentication chap pap callin

ppp multilink

!

router rip

version 2

passive-interface Dialer1

network 10.0.0.0

network 192.168.12.0

no auto-summary

!

ip local pool AI-NET-RAS-Group-2 10.0.0.10 10.0.0.11

ip nat inside source list 1 interface Dialer1 overload

ip classless

ip route 0.0.0.0 0.0.0.0 Dialer1

no ip http server

ip pim bidir-enable

!

!

access-list 1 permit 192.168.12.0 0.0.0.255

access-list 1 permit 10.0.0.0 0.0.255.255

access-list 120 permit ip any any

dialer-list 1 protocol ip list 120

!

snmp-server engineID local 0000000902000050737787C4

snmp-server community public RO

snmp-server enable traps tty

!

line con 0

exec-timeout 0 0

password 7 XXX

login

stopbits 1

line vty 0 4

password 7 XXX

login

!

rcapi server port 2578

!

rcapi number YYY

rcapi number YYY

!

end

Link zu diesem Kommentar

Hi,

 

ich verwende reflexive Accesslisten. Reflexive Accesslisten erlauben für jede ausgehende Verbindung die entsprechenden Rückpakete:

interface Dialer10
description DIALER PROFILE: INTERNET DSL
...
ip access-group ACL_Internet_IN in
ip access-group ACL_Internet_OUT out
...

ip access-list extended ACL_Internet_IN
evaluate REFLECT_ACL_Internet 
permit esp any any
permit udp any any eq isakmp
deny   tcp any 172.16.73.0 0.0.0.255 range 0 65535
deny   udp any 172.16.73.0 0.0.0.255 range 0 65535
deny   ip any 172.16.73.0 0.0.0.255 log-input
permit udp host 192.53.103.103 any eq ntp
permit udp host 192.53.103.104 any eq ntp
remark AGE OF EMPIRES/DIRECTX/ZONE                        
permit tcp any any eq 6667
permit tcp any any eq 2000
permit udp any any eq 2000
permit tcp any any eq 47624
permit udp any any range 2300 2400
permit tcp any any range 2300 2400
permit tcp any any range 28800 29000
remark ALLOW FTP
permit tcp any eq ftp-data any
remark INCOMING ICMP RULES                                
permit icmp any any ttl-exceeded
permit icmp any any echo-reply
deny   icmp any any log
deny   tcp any any range 0 65535 log
deny   udp any any range 0 65535 log
deny   ip any any log

ip access-list extended ACL_Internet_OUT
deny   udp any range 135 netbios-ss any log
deny   tcp any range 135 139 any log
deny   udp any eq 445 any log
deny   tcp any eq 445 any log
deny   udp any any range 135 netbios-ss log
deny   tcp any any range 135 139 log
deny   udp any any eq 445 log
deny   tcp any any eq 445 log
permit ip any any reflect REFLECT_ACL_Internet

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...