Wurstbläser 10 Geschrieben 5. April 2005 Melden Teilen Geschrieben 5. April 2005 Hi Morte nur kurz zu eq domain in Access-Lists .. steht für DNS-Anfrage über die Quell- und Zielports 53. Man könnte genausogut schreiben "eq 53" - allerdings UDP, nicht TCP. Nur wenn Du also intern einen DNS-Server benutzt und die Clients mit diesem konfiguriert sind, kannst Du Port 53 weiter einschränken. So könnten die ACLs aussehen: DNS fur alle: access-list 101 permit udp any eq domain any eq domain DNS nur für einen DNS-Server: access-list 102 permit udp host 10.0.0.1 eq 53 any eq 53 natürlich kannst Du den DNS weiter absichern, oder dessen Anfragen weiter einschränken, authetifizieren etc. (10.0.0.1 soll für die Ip des DNS-Servers stehen, eq domain und eq 53 sind identisch, die Clients hätten 10.0.0.1 als DNS-Server) und hier dein Problem unbeabsichtigte Einwahl: in Deiner config steht dialer-list 1 protocol ip permit diese Zeile ruft bei jeder Art von Ip-Verkehr (TCP/UDP/ICMP+Routingprotokolle) den Dialer auf - pauschal wird alles erlaubt. Du kannst statt dessen etwas eingeschränkter eine weitere accesslist angeben, in der Du nur die 'Anläße' definierst die die EInwahl auslösen sollen. Das geht z.B. so: dialer-list 1 protocol ip list 120 jetzt musst du also noch eine ACL Nr. 120 einrichten die etwas spezifischer nur bei bestimmten Ereignissen rauswählt. Als Beispiel: access-list 120 permit tcp any any eq 80 access-list 120 permit tcp any any eq 25 access-list 120 permit udp any any eq 53 access-list 120 permit tcp any any eq 110etc. Nur wenn jetzt die gelisteten Ports aus dem Standardgateway geroutet werden sollen, springt der Dialer an. Diese Liste ist natürlich anzupasen. Außerdem veranlasst diese List nur die Einwahl. Es scheint mir der beliebteste Fehler überhaupt zu sein, diese ACLs für eine Mini-Firewall zu halten: dem ist nicht so ... Gruss Robert Zitieren Link zu diesem Kommentar
mr._oiso 10 Geschrieben 5. April 2005 Melden Teilen Geschrieben 5. April 2005 Hi Morte eq = equal = gleich Das eq wird in der ACL gesetzt, wenn man genau einen Prot tcp/udp damit abfragen möchte. domain ist hier die Umschreibung für dns = domain name service. Mit anderen Worten ist : genau dns Port tcp/udp 53 gemeint ! Es gibt aber auch die Kürzel gt / lt / range. Hiermit wird eine Port range bezeichnet. range Port 1-65535 lt = lower than Port x gt = greater than Port Y z.B. Bei der Sache mit der Callback-Verbindung über die Router, ist es nun von Bedeutung wie Deine dialer-list aussieht. Ich gehe mal davon aus, dass es wirklich Broadcast ist, welcher Dir die ISDN-Leitung vom Server aus wieder triggert. Triggert=iniziiert Was genau heißt, "Beim Ping macht er das aber nicht " ? Von wo aus wird der ICMP-Request abgesetzt ? Sonst poste mal Deine dialer-list von beiden Routern. Die Dialer-List ist dafür verantwortlich, bei welchem IP-Packet der Router die Wählverbindung anstoßen darf und wann nicht. Diese können und sollten natürlich je nach Richtung des Traffic von Server to Client und Client to server berücksichtigt werden. Wahrscheinlich hat der Client bei Deinem Ping-Versuch nur gerade keinen Broadcast gesendet und somit hat alles funktioniert. Nur umgekehrt ist die Frage, wer oder was macht der PC am Server-Router ! Eventuell doch Broadcast ? MfG Mr. Oiso Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.