Jump to content
Sign in to follow this  
xyCruiseryx

Frage zur Acceslisten ..Unklarheit..

Recommended Posts

a_Acces_Listen_Bild_10.gif

 

Beispiel 10.1:

 

Standard-ACL, um Verkehr zu blockieren, der nicht 172.16.0.0 ist

 

Router( config )# access-list 1 permit 172.16.0.0 0.0.255.255

 

Router( config )#interface ethernet 0

 

Router( config-if )#ip access-group 1 out

 

Router( config )#interface ethernet 1

 

Router( config-if )#ip access-group 1 out

 

 

 

Alle Access-Listen enden mit der Aussage “Stillschweigend alle ablehnen”. Verkehr, der den ersten beiden Oktetten der Netzwerkadresse 172.16.0.0 nicht entspricht, wie in Beispiel 10.1, wird zur unsichtbaren Aussage “Stillschweigend alle ablehnen” weitergeleitet.

 

Die Richtung der Liste in Beispiel 10.1 ist eindeutig als Ausgang festgelegt. Wird vergessen eine Richtung zu bestimmen, ist die Voreinstellung immer out.

 

Die folgende Liste hebt Hauptparameter der in Beispiel 10.1 dargestellten ACL hervor:

 

1

 

ist die ACL-Nummer, die anzeigt, dass es eine Standardliste ist.

permit

 

bedeutet, dass Verkehr, der den gewählten Parametern entspricht, weitergeleitet werden wird.

172.16.0.0

 

ist die IP-Adresse, die mit der Platzhaltermaske genutzt wird, um das Quellnetzwerk anzugeben.

0.0.255.255

 

ist die Platzhaltermaske. Nullen zeigen Positionen an, die abgeglichen werden müssen; Einsen bedeuten nicht zu beachtende Positionen.

ip access-group 1 out

 

bindet die Access-Liste an ein Interface als Ausgangsfilter.

 

 

Frage : Es heisst hier : ip access-group 1 out auf dem eth0 sowohl auch auf dem eth 1

 

Das heisst doch. Alles was aus dem Lan in Richtung Router möchte richtig ??

 

Warum schneidet man dem restlichen Netz nicht schon auf der Serial0 den weg ab.

 

BSP: Ip access-group 1 in

 

auf dem serial0

 

ich meine damit das die anfragen aus dem 172.16.0.0 Netzt die nicht geroutet werden sollen erst garicht ans e0 und e1 gelangen ??

 

Oder kann man das auf dem Interface Blocken wie mans gern hat ???

 

Hillfeeee ich seh nicht mehr durch.... ;)

Share this post


Link to post

Du machst Access-listen für ein verkehr zu blocken!

 

1. gibt es zwei arten von ALC standart und erweitert

Standart ist, du gibst per ALC ein sender frei

 

erweitert ist, du gibst per ALC ein sernder zu enpfänger per protokoll tcp 80 frei

 

beispiel:

 

access-list 1 permit 172.16.3.0 0.255.255.255

hier gibst du verkehr vom netz 172.16.3.0 frei als sender

 

access-list 100 permit tcp 172.16.3.0 0.255.255.255 any eq 80

hier gibst du verkehr vom netz 172.16.3.0 nach any frei mit port 80 = http

 

Damit das ganze auch funktioniert musst du das noch auf (ein) interface binden

 

interface ethernet 1

ip access-group 1 out

 

 

Binde die ACL nur auf ein interface, das ist wichtig!

Du kannst auch die ACL auf das in interface binden

 

interface ethernet 1

ip access-group 100 in

 

dann musst du aber auch die ALC anpassen

 

access-list 100 permit tcp any eq 80 172.16.3.0 0.255.255.255

hier gibst du verkehr vom netz 172.16.3.0 nach any frei mit port 80 = http

 

Alles klar? :confused:

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

×
×
  • Create New...