Jump to content
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hi Morte

 

nur kurz zu eq domain in Access-Lists

 

.. steht für DNS-Anfrage über die Quell- und Zielports 53. Man könnte genausogut schreiben "eq 53" - allerdings UDP, nicht TCP. Nur wenn Du also intern einen DNS-Server benutzt und die Clients mit diesem konfiguriert sind, kannst Du Port 53 weiter einschränken.

 

So könnten die ACLs aussehen:

DNS fur alle:

access-list 101 permit udp any eq domain any eq domain

DNS nur für einen DNS-Server:

access-list 102 permit udp host 10.0.0.1 eq 53 any eq 53

natürlich kannst Du den DNS weiter absichern, oder dessen Anfragen weiter einschränken, authetifizieren etc.

(10.0.0.1 soll für die Ip des DNS-Servers stehen, eq domain und eq 53 sind identisch, die Clients hätten 10.0.0.1 als DNS-Server)

 

 

 

und hier dein Problem unbeabsichtigte Einwahl:

in Deiner config steht

dialer-list 1 protocol ip permit

 

diese Zeile ruft bei jeder Art von Ip-Verkehr (TCP/UDP/ICMP+Routingprotokolle) den Dialer auf - pauschal wird alles erlaubt. Du kannst statt dessen etwas eingeschränkter eine weitere accesslist angeben, in der Du nur die 'Anläße' definierst die die EInwahl auslösen sollen. Das geht z.B. so:

 

dialer-list 1 protocol ip list 120

 

jetzt musst du also noch eine ACL Nr. 120 einrichten die etwas spezifischer nur bei bestimmten Ereignissen rauswählt. Als Beispiel:

 

access-list 120 permit tcp any any eq 80

access-list 120 permit tcp any any eq 25

access-list 120 permit udp any any eq 53

access-list 120 permit tcp any any eq 110etc.

 

Nur wenn jetzt die gelisteten Ports aus dem Standardgateway geroutet werden sollen, springt der Dialer an. Diese Liste ist natürlich anzupasen. Außerdem veranlasst diese List nur die Einwahl. Es scheint mir der beliebteste Fehler überhaupt zu sein, diese ACLs für eine Mini-Firewall zu halten: dem ist nicht so ...

 

Gruss

Robert

Link zu diesem Kommentar

Hi Morte

 

eq = equal = gleich

 

Das eq wird in der ACL gesetzt, wenn man genau einen Prot tcp/udp damit abfragen möchte.

domain ist hier die Umschreibung für dns = domain name service.

 

Mit anderen Worten ist : genau dns Port tcp/udp 53 gemeint !

 

Es gibt aber auch die Kürzel gt / lt / range. Hiermit wird eine Port range bezeichnet.

range Port 1-65535

lt = lower than Port x

gt = greater than Port Y z.B.

 

 

Bei der Sache mit der Callback-Verbindung über die Router, ist es nun von Bedeutung wie Deine dialer-list aussieht.

Ich gehe mal davon aus, dass es wirklich Broadcast ist, welcher Dir die ISDN-Leitung vom

Server aus wieder triggert. Triggert=iniziiert

 

Was genau heißt, "Beim Ping macht er das aber nicht " ? Von wo aus wird der ICMP-Request abgesetzt ?

Sonst poste mal Deine dialer-list von beiden Routern.

 

Die Dialer-List ist dafür verantwortlich, bei welchem IP-Packet der Router die Wählverbindung anstoßen darf und wann nicht. Diese können und sollten natürlich je nach Richtung des Traffic von Server to Client und Client to server berücksichtigt werden.

Wahrscheinlich hat der Client bei Deinem Ping-Versuch nur gerade keinen Broadcast gesendet und somit hat alles funktioniert. Nur umgekehrt ist die Frage, wer oder was macht der PC am Server-Router ! Eventuell doch Broadcast ?

 

MfG

 

Mr. Oiso

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...