Jump to content

Kann man auf einem 2621XM einzelne IP's für einen client verbieten?

ck84

Von ck84
in Cisco Forum — Allgemein

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

ck84 Community Regular

ck84   10

Geschrieben
Geschrieben

Hi ich hab nochmal eine Frage, ist es möglich z.B dem client auf xxx.xxx.xxx.41 über den Router zu verbieten auf die IP a.b.c.d zuzugreifen? Selbstverständlich ist a.b.c.d in einem anderen netz.

 

ROM: System Bootstrap, Version 12.2(7r) [cmong 7r], RELEASE SOFTWARE (fc1)
ROM: C2600 Software (C2600-C-M), Version 12.3(13), RELEASE SOFTWARE (fc2)

MYOEY Experienced

MYOEY   10

Geschrieben
Geschrieben

Hi,

Mithilfe einer access-list kann man sowas machen, konfiguriere mal zuerst die access-list und dann binde sie an die entsprechende Interface!

 

access-list Nr deny Protokoll Quelladresse Zieladresse

 

 

Gruss

 

MYOEY

Wurstbläser Rising Star

Wurstbläser   10

Geschrieben
Geschrieben

um es zu ergänzen - unter der Vorraussetzung das EIN Client nicht auf EINE Adresse zugreifen können soll:

 

access-list 100 deny ip host xxx.xxx.xxx.41 host a.b.c.d

access-list 100 permit ip any any

 

host xxx.xxx.xxx.41 ist hinter interface ethernet1:

 

interface ethernet1

ip access-group 100 in

 

Bitte eine ACL-Nummer zwischen 100-199 wählen (extended ACL)

 

Gruss

Robert

ck84 Community Regular

ck84   10

Geschrieben
  • Autor
Geschrieben

einen hostname zu blocken geht nicht oder? denn login.icq.com besitzt ja mehrere ips welche alle 45sekunden wechseln .... und icq port blocken bringt nichts da icq dann auf port 80 ausweicht

Wurstbläser Rising Star

Wurstbläser   10

Geschrieben
Geschrieben

ACLs sind hier wohl überfordert. Ein Hostname in der ACL würde ja eine Namensauflösung erfordern die zu einem unakzeptablem Verzögerung (latenca) führen würde. Es würde auch kein Sinn ergeben da eh nur numerische IP-Adressen verarbeitet werden - der Domainname stünde erst wieder im Layer 6 oder7 HTTP-Paket, der Host hat die Namensauflösung ja bereits weit vor dem Router vorgenommen.

 

Die richtigen Techniken zur Abwehr sind hier wohl Systeme wie IDS/IPS - diese nutzen andere Mechanismen um z.B. ACL-Einträge dynamische zu erzeugen wenn eine bestimmte Signatur ein IP/Port Verhalten ausgemacht hat ... mal so ganz grob beschrieben. Vielleicht hat eure IOS-Version ja ein IDS-feature mit an board?

 

(... oder man gewinnt die administrative Kontrolle über den Desktop zurück)

 

Gruss

Robert

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde dich hier an.

Jetzt anmelden
Zurück zur Übersicht


×
×
  • Neu erstellen...