Jabao 10 Geschrieben 19. Januar 2005 Melden Teilen Geschrieben 19. Januar 2005 Hallo, ich brauche mal einen kleine Denkanstoss von Euch. Und zwar geht es um die eine praktische Simulationsübung aus der Cisco ICND Abschlußprüfung. Ich hatte da nur 80% obwohl ich meine das die Übung so stimmt??!?!?! Naja bei CISCO weiß man das nie! :-) Folgendes Szenario: -------------------------- Router1 ------------Router2 --------------- Router3 I I PC1 PC1 konfiguriert Router 1. Es sollen auf dem Router1 die beiden Schnittstellen E0 und S0 vor Pings von "außen" geblockt werden, mittels Accesslist. Alle anderen Dienste sollen aber auf dem Router funktionieren. Und man soll auch durch den Router den PC1 anpingen können. So habe ich es jedenfalls aus der tollen und ganz deutlichen Ciscobeschreibung rausgelesen! Ich hatte dazu folgenden Lösungsvorschlag: --------------------------------------------------- Router1 ena config t access-list 101 deny icmp any host "E0" (IP Addresse von E0) access-list 101 deny icmp any host "S0" (IP addresse von S0) access-list 101 permit ip any any exit int s0 access-group 101 in Was meint Ihr dazu? Muß man die Access-Group 101 auch auf das E0 Interface anwenden? Oder blockt S0 alles? Oder hat jemand was anderes aus der Aufgabenstellung gelesen? Bye Jabao Zitieren Link zu diesem Kommentar
Sailer 11 Geschrieben 19. Januar 2005 Melden Teilen Geschrieben 19. Januar 2005 Hallo Jabao, natürlich musst du die acl auf jedes Interface binden auf dem sie wirken soll, s0 ist ein interface wie jedes andere auch! Und was noch fehlt ist die konfiguration, dass die ICMP-Reply's von PC1 duch können (zumindest entnehme ich das deiner Aufgabenstellung so) Zitieren Link zu diesem Kommentar
Jabao 10 Geschrieben 20. Januar 2005 Autor Melden Teilen Geschrieben 20. Januar 2005 Hai Sailer, und genau das ist das was ich nicht verstehe! Wenn ich die Liste auf S0 anwende werden dadurch alle Pings von außen geblockt - auch die die auf das E0 Interface gehen! Der PC der allerdings hinter dem Router R1 angeschlossen ist, der kann von außen angepingt werden. Also so wie es sein soll! Warum soll ich denn dann die ACL noch auf das Interface E0 anwenden? Dank dem Eintrag permit ip any any gehen alle anderen IP Dienste! Also ICMP-Repleys funktionieren. Das habe ich auf 3 echten Routern und auf 2 Boson Simulatoren nachgebaut und es hat sofort funktioniert?!?! Aber Danke schon mal.. Bye Jabao Zitieren Link zu diesem Kommentar
Sailer 11 Geschrieben 20. Januar 2005 Melden Teilen Geschrieben 20. Januar 2005 Ja, aber Pings die von Seiten der Ethernet-Schnittstelle kommen werden nicht geblockt nur weil eine ACL auf s0 konfguriert ist. Aber vielleicht reden wir auch nicht vom selben, unter "außen" verstehe ich jetzt alles außerhalb des Routers also von allen Seiten. Wenn man als "außen" nur die s0 Seite sieht würde deine Konfiguration schon passen. Ich weiß nicht wie pingelig diese Frage gestellt wird aber ein Statement für PC1 musst du einbauen wenn auch vom Router aus der PC1 gepingt werden soll -> eines seiner Interfaces wäre dann nämlich Source-Address d.h. der Reply würde auf diese gesendet werden Zitieren Link zu diesem Kommentar
phrock 10 Geschrieben 23. Januar 2005 Melden Teilen Geschrieben 23. Januar 2005 Hallo, ich glaube du übersiehst da was ganz Entscheidendes: ICMP ist nicht nur Ping!! Du blockst jeden ICMP-Traffic, der über das S0-Interface an den Router gerichtet wird. Sailer hat es schon kurz angesprochen: Schau dir in dem Zusammenhang "echo request" und "echo reply" an! Dies ist nur ein Denkanstoß. Zitieren Link zu diesem Kommentar
Jabao 10 Geschrieben 25. Januar 2005 Autor Melden Teilen Geschrieben 25. Januar 2005 Hallo phrock, besten Dank war ein guter Tip. Hier nun meine ACL als Update damit müßte es dann funzen?!? ---------------------------------------------------------------------------- Router1 ena config t access-list 101 deny icmp any host "IP Addresse von E0" echo-reply access-list 101 deny icmp any host "IP Addresse von S0" echo-reply access-list 101 permit ip any any exit int s0 access-group 101 in exit int e0 access-group 101 out exit copy run start fertichhhhhhhhhhhhhh Nur eine Frage noch, da ich ja im IP Bereich nix denyt habe mußte als letzte Zeile nicht ein access-list 101 permit icmp any any ..(statt ip) darunter bye Jabao Zitieren Link zu diesem Kommentar
Wurstbläser 10 Geschrieben 25. Januar 2005 Melden Teilen Geschrieben 25. Januar 2005 Hi Jabao, .. warum "echo-reply" auf s0 in? warum nicht "echo"? Deine Liste 101 blockt die "echo-request"-Pakete die hereinkommen nicht. Deshalb nur mit "echo" genau diese Pakete abwehren. Wenn die das e0 Interface das LAN ist - dürfte s0 mit "außen" gemeint sein. Eigentlich braucht man die 101 dann nicht nich auf diese binden. Gruss Robert Zitieren Link zu diesem Kommentar
Jabao 10 Geschrieben 25. Januar 2005 Autor Melden Teilen Geschrieben 25. Januar 2005 Hi Robert,. DANKE funzt!!!!!!!!! bye Jabao Zitieren Link zu diesem Kommentar
phrock 10 Geschrieben 25. Januar 2005 Melden Teilen Geschrieben 25. Januar 2005 Hallöchen, sehr schön - Problem scheinbar gelöst. Nur für private Zwecke noch der Tipp: Mit "no ip unreachables" auf den Interfaces "sicherst" du das Teil nochmal ein Stückchen besser ab! Ohne diesen Eintrag sendet der Router dieses "administratively prohibited unreachable" an die pingende Gegenstelle: *Mar 1 00:51:21.551: ICMP: dst (192.168.10.174) administratively prohibited unreachable sent to 192.168.10.163 - und somit weiß der Pingende ja dann eigentlich, daß da was ist, was nicht angepingt werden will! Mit dem Eintrag "no ip unreachables" unterläßt er das Senden der unreachable-Meldungen. Somit ist er dann bei einfachen Ping-"Scans" unsichtbar. die Lösung einmal komplett: ! interface ethernet0 ip access-group 101 in no ip unreachables ! interface serial0 ip access-group 101 in no ip unreachables ! access-list 101 deny icmp any any echo access-list 101 permit ip any any ! Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.