Werner 10 Geschrieben 27. Januar 2005 Melden Teilen Geschrieben 27. Januar 2005 Hallo zusammen, ich fange ganz neu an mich mit Cisco IOS zu beschäftigen, deshalb auch die für euch wahrscheinlich ziemlich ****e Frage. Ich habe einen cisco 826 Router und folgendes Problem: ich komme einfach nicht ins Internet. Es hat alles funktioniert bevor ich an der Access-List rumgeschraubt habe. Nun weiss ich nicht warum es nicht mehr klappt. Ausserdem wüsste ich gerne wie ich einzelne Einträge aus der Access-List löschen kann. Für eure Hilfe bin ich jetzt schon dankbar. Es soll nur ein Rechner mit der IP 192.168.1.1 ins Internet. cisco#show access-list Extended IP access list 100 permit tcp any 192.168.1.0 0.0.0.255 Extended IP access list 102 permit ip 192.168.1.0 0.0.0.255 any Extended IP access list 111 permit icmp any any administratively-prohibited permit icmp any any echo permit icmp any any echo-reply permit icmp any any packet-too-big permit icmp any any time-exceeded permit icmp any any traceroute permit icmp any any unreachable permit udp any eq bootps any eq bootpc permit udp any eq bootps any eq bootps permit udp any eq domain any permit esp any any permit udp any any eq isakmp permit udp any any eq 10000 permit tcp any any eq 1723 permit tcp any any eq 139 permit udp any any eq netbios-ns (2 matches) permit udp any any eq netbios-dgm permit gre any any deny ip any any (51 matches) Bis dann Werner Zitieren Link zu diesem Kommentar
mr._oiso 10 Geschrieben 27. Januar 2005 Melden Teilen Geschrieben 27. Januar 2005 hi Werner Das macht doch nix ! Dafür gibt es doch das Board ! :D Tip: Einzelne Einträge kann man nicht direkt löschen oder editieren. Wenn Du z.B. anfängst eine ACL zu konfigurieren, dann definierst Du in der Regel erstmal was erlaubt ist. Ohne Dein zutun setzt der Router dann am Ende das "deny any" Solltest Du also später etwas ändern wollen, so mußt Du die Liste entfernen und neu machen, oder eine andere ID nutzen ! (sind ja genug vorhanden -möglich). Am besten Du kopierst sie Dir aus der telnet session oder Console heraus in einen Texteditor (Wordpad oder Editpad) und fügst dann neue Zeilen ein, damit sie später vor dem "deny any" stehen ! Ansonsten matchen diese Einträge nicht mehr ! Wenn Du die List dann mit Edit/Word-pad bearbeitet hast, makierst Du alles und fügst es einfach an der Router(config)# ein. Fertig ! Danach bindest Du die List wieder ans Interface und gut isss. Ich schau mir die Liste mal gerade an ! MfG Mr. Oiso Zitieren Link zu diesem Kommentar
mr._oiso 10 Geschrieben 27. Januar 2005 Melden Teilen Geschrieben 27. Januar 2005 hi Werner Was genau möchtest Du denn alles verbieten oder erlauben ? Die ACL 100 erlaubt nur TCP von überall in Dein Netz, und könnte somit nur "inbound" an Deinem Ext. Interface hängen, oder "outbound" am internen. Outbound am internen Interface macht aber keiner, da der Router sonst erst alles verarbeiten muss und danach entscheidet was weg muss (drop). Die ACL 102 erlaubt IP aus Deinem Netz überall hin, und gehört damit eher "inbound" internes interface. Bedenke IP ist sehr global ! Damit meint der Router TCP,UDP,ICMP.... all Ports ! Mit dieser List komm ich garnicht klar ! Teilweise hast Du source und destination verwechselt ! Und brauchst Du überhaupt esp und gre ? Möchtest Du VPN über den Router machen (PPTP,IPSec) ? Extended IP access list 111 permit icmp any any administratively-prohibited permit icmp any any echo permit icmp any any echo-reply permit icmp any any packet-too-big permit icmp any any time-exceeded permit icmp any any traceroute permit icmp any any unreachable permit udp any eq bootps any eq bootpc permit udp any eq bootps any eq bootps permit udp any eq domain any permit esp any any permit udp any any eq isakmp permit udp any any eq 10000 permit tcp any any eq 1723 permit tcp any any eq 139 permit udp any any eq netbios-ns (2 matches) permit udp any any eq netbios-dgm permit gre any any deny ip any any (51 matches) Diese Ports macht man in der Regel zu ! permit tcp any any eq 139 permit udp any any eq netbios-ns (2 matches) permit udp any any eq netbios-dgm Soetwas in der Regel auch ! microsoft-ds 445/tcp Microsoft-DS microsoft-ds 445/udp Microsoft-DS Poste doch mal Deine Konfiguration komplett (ohne Passwörter) Und mach nen "show version" mal und poste gleich mit. Wahrscheinlich kann der 826 sogar IP-Inspection ! Ist ne tolle Sache ! MfG Mr. Oiso Zitieren Link zu diesem Kommentar
Werner 10 Geschrieben 27. Januar 2005 Autor Melden Teilen Geschrieben 27. Januar 2005 Hallo Mr. Oiso, ersteinmal vielen Dank für deine schnelle Antwort. Das die List einfach in Wordpad bearbeitet werden kann wusste ich ja überhaupt nicht. Ist ja eine tolle Sache. Ich glaube ich habe ein ganz falsches Verständnis von der Access-list, da ich der Meinung war das diese Liste gleichzusetzen ist mit der Firewall und die soll ja stateful inspection beherschen. deshalb wollte ich eigentlich nur eine Regel ( nur der Rechner mit der IP 192.168.1.52) ins Internet erstellen. Das ist aber wahrscheinlich völlig falsch. Ich wollte schon VPN mit IPSEC machen. Ich kann dir auch nicht erklären warum in der Liste 111 so viel Unsinn drin steht, ich glaube das war die Anfangs-Konfiguration. Kann das sein ? Also gre und tcp 1723, netbios will ich natürlich nicht von draußen öffnen. Muß ich denn wirklich alle Dienste die ich brauche expliziet von draußen nach innen zulassen ? Kennst du vielleicht noch ein gutes Buch mit dem ich mich schlau machen kann ? Denn ich will ja nicht bei jeder Frage hier im Forum posten. Das ist doch zu peinlich. Hier ersteinmal die Konfig und Version. MFG Werner cisco#show version Cisco Internetwork Operating System Software IOS C820 Software (C820-OY6-M), Version 12.2(4)YA4, EARLY DEPLOYMENT RELEASE SOFTWARE (fc1) Synched to technology version 12.2(5.4)T TAC Support: http://www.cisco.com/tac Copyright © 1986-2002 by cisco Systems, Inc. Compiled Fri 27-Dec-02 11:28 by ealyon Image text-base: 0x80013170, data-base: 0x806AA244 ROM: System Bootstrap, Version 12.2(4r)XM1, RELEASE SOFTWARE (fc1) ROM: C820 Software (C820-OY6-M), Version 12.2(4)YA4, EARLY DEPLOYMENT RELEASE SOFTWARE (fc1) cisco uptime is 1 minute System returned to ROM by power-on System image file is "flash:c820-oy6-mz.122-4.YA4.bin" CISCO C826 (MPC855T) processor (revision 0x1201) with 31744K/1024K bytes of memory. Processor board ID JAD07130ERX (905154690), with hardware revision 0000 CPU rev number 5 Bridging software. 1 Ethernet/IEEE 802.3 interface(s) 1 ATM network interface(s) 128K bytes of non-volatile configuration memory. 16384K bytes of processor board System flash (Read/Write) 2048K bytes of processor board Web flash (Read/Write) Configuration register is 0x2102 Zitieren Link zu diesem Kommentar
Werner 10 Geschrieben 27. Januar 2005 Autor Melden Teilen Geschrieben 27. Januar 2005 Hier ist die Konfig: cisco#show config Using 3065 out of 131072 bytes ! version 12.2 no service pad service timestamps debug uptime service timestamps log uptime service password-encryption ! hostname cisco ! no logging buffered enable secret xxxxxxxxxxxxxxxxxxxxxx enable password xxxxxxxxxxxxxxxxxxxxxxxx ! username CRWS_Venky privilege 15 password xxxxxxxxxxxxxxx username admin password xxxxxxxxxxxxxxxxxxxxxxx ip subnet-zero no ip routing ! ip inspect name myfw cuseeme timeout 3600 ip inspect name myfw ftp timeout 3600 ip inspect name myfw rcmd timeout 3600 ip inspect name myfw realaudio timeout 3600 ip inspect name myfw smtp timeout 3600 ip inspect name myfw tftp timeout 30 ip inspect name myfw udp timeout 15 ip inspect name myfw tcp timeout 3600 ip inspect name myfw h323 timeout 3600 vpdn enable ! vpdn-group 1 request-dialin protocol pppoe ip mtu adjust ! ! ! ! interface Ethernet0 description CRWS Generated text. Please do not delete this:192.168.1.1-255.255.255.0 ip address 192.168.1.1 255.255.255.0 ip nat inside no ip route-cache ip tcp adjust-mss 1452 hold-queue 100 out ! interface ATM0 no ip address no ip route-cache atm vc-per-vp 64 no atm ilmi-keepalive pvc 1/32 pppoe-client dial-pool-number 1 ! pvc 8/35 pppoe-client dial-pool-number 1 ! dsl operating-mode annexb-ur2 ! interface Dialer1 ip address negotiated ip access-group 111 in ip mtu 1492 ip nat outside ip inspect myfw out encapsulation ppp no ip route-cache ip tcp adjust-mss 1452 dialer pool 1 dialer remote-name redback dialer-group 1 ppp authentication pap chap callin ppp chap hostname xxxxxxxxxxxxxxxxxx@t-online.de ppp chap password xxxxxxxxxxxxxxxxxxxxxx ppp pap sent-username xxxxxxxxxxxxxxxxxxxxxxxxx@t-online.de password xxxxxxxxxxxxxxxxxxxxxx ! ip nat inside source list 102 interface Dialer1 overload ip classless ip route 0.0.0.0 0.0.0.0 Dialer1 ip http server ! ! access-list 100 permit tcp any 192.168.1.0 0.0.0.255 access-list 102 permit ip 192.168.1.0 0.0.0.255 any access-list 111 permit icmp any any administratively-prohibited access-list 111 permit icmp any any echo access-list 111 permit icmp any any echo-reply access-list 111 permit icmp any any packet-too-big access-list 111 permit icmp any any time-exceeded access-list 111 permit icmp any any traceroute access-list 111 permit icmp any any unreachable access-list 111 permit udp any eq bootps any eq bootpc access-list 111 permit udp any eq bootps any eq bootps access-list 111 permit udp any eq domain any access-list 111 permit esp any any access-list 111 permit udp any any eq isakmp access-list 111 permit udp any any eq 10000 access-list 111 permit tcp any any eq 1723 access-list 111 permit tcp any any eq 139 access-list 111 permit udp any any eq netbios-ns access-list 111 permit udp any any eq netbios-dgm access-list 111 permit gre any any access-list 111 deny ip any any dialer-list 1 protocol ip permit ! line con 0 exec-timeout 120 0 stopbits 1 line vty 0 4 access-class 23 in exec-timeout 120 0 login local length 0 ! scheduler max-task-time 5000 end cisco# Zitieren Link zu diesem Kommentar
xymos 10 Geschrieben 27. Januar 2005 Melden Teilen Geschrieben 27. Januar 2005 hi, hatte selbiges problem anfangs auch ;) habe vollgendes eingefügt: permit udp any any eq domain dann gings wieder ;-) -xymos. Zitieren Link zu diesem Kommentar
mr._oiso 10 Geschrieben 28. Januar 2005 Melden Teilen Geschrieben 28. Januar 2005 Hi Werner Habe im Moment kaum Zeit ! Drum erstmal kurz ! Ein Buch gibt es natürlich zum Thema. Anbieten täte ich den CCNA Self Study Guide ISBN 1-58720-083-X Darin staeht alles was Du wissen mußt. Sonst schau mal hier vorbei ! http://www.networkclue.com/routing/Cisco/access-lists/editing.php Es gibt auch nen "Config Editor" einmal von Cisco und auch hier : http://www.winagents.com/de/products/cisco-config-editor Allerdings traue ich den Dingern nicht immer über den weg ! Zum Teil natürlich weil sie nur die Standards abdecken und nie den Featureumfang einer IOS Version abdecken. Dafür gibt es einfach zu viele. Was Deine Konfiguration angeht, da würde ich mal erst die ACL 111 löschen ! Erst vom Interface dialer 1 nehmen. Router(config-if)#no access-group 111 in danach Router(config)#no access-list 111 Die ACL 100 kannst wahrscheinlich auch löschen (nicht im gebrauch) Die ACL 102 darfst Du nicht löschen, die ist für's NAT ! Melde mich gleich wieder ! Bin im Meeting ! MfG Mr. Oiso Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.