22. december 2003 - 18:43Der er
13 kommentarer og 1 løsning
Hjælp til access-liste på cisco router med dynamisk NAT
Jeg laver en dynamisk translation, så alle inside adresser bliver assigned til det udgåene interface.
interface ethernet 0 description Internet connection - external ip nat outside ip access-group 111 in ! interface FastEthernet0 description Local Network - internal ip nat inside
ip nat inside source list 1 interface Ethernet0 overload access-list 1 permit 10.0.0.0 0.0.0.255
Nu vil jeg gerne åbne op for tcp trafik indefra og ud,
access-list 111 permit tcp any host 10.0.0.0 eq www access-list 111 permit tcp any host 10.0.0.0 eq 443 access-list 111 permit tcp any host 10.0.0.0 eq smtp access-list 111 permit tcp any host 10.0.0.0 eq pop3 access-list 111 permit tcp any host 10.0.0.0 eq 143 access-list 111 permit tcp any host 10.0.0.0 eq ftp-data access-list 111 permit tcp any host 10.0.0.0 eq ftp access-list 111 permit tcp any host 10.0.0.0 eq nntp access-list 111 permit tcp any host 10.0.0.0 eq 8081 access-list 111 permit tcp any host 10.0.0.0 established access-list 111 deny ip any any log
Den moderne arbejdsplads er i stigende grad afhængig af mødelokaler til at fremme samarbejde, men dette skift medfører også stigende sikkerhedsudfordringer.
den laver automatisk port 80 om til www nu har jeg også lagt 8080 ind, uden held men der er ingen ting der virker så det må være host adressen den er gal med.
>Hvis jeg fjerner denne linie, er der intet der virker mere => >access-list 111 permit tcp any host 80.12.30.142 established log
Den skal også blive der... :-) Ellers spærres der for retur traffik til dig, når du request'er feks. en webside.
>Hvorfor tager de andre access-lister ikke over? >access-list 111 permit tcp any host 80.12.30.142 eq www log
De fortæller jo at der ikke må køres de specificerede service IND IMOD dig.... Det er jo ikke tilfældet.. Det er vel dig der kører connector til andre og ikke omvendt. Derfor ingen matches..
Hvis du laver ACL'en med disse statements:
access-list 111 deny icmp any any echo access-list 111 permit icmp any any access-list 111 permit tcp any any established access-list 111 permit udp any eq domain any access-list 111 permit tcp any eq ftp-data any
..så kan man intet imod din router, men du kan alt udgående..
Men hvad ønsker du egentlig at opnå? Fortæl, fortæl :-)
Jeg ønsker at lukke af for uønsked trafik ude fra internettet ping, telnet, netbios o.s.v og herved beskytte mit LAN fra netbios o.s.v
Jeg ønske også at lukke af for uønsked trafik fra mit LAN og ud på internettet, således at jeg ikke kan bruges som hacker-station, hvis jeg bliver hijacked pga. virus eller trojanske heste ol.
Så det lyder som om at jeg skal ligge det nye filter på mit udgåene interface: access-list 111 deny icmp any any echo access-list 111 permit icmp any any access-list 111 permit tcp any any established access-list 111 permit udp any eq domain any access-list 111 permit tcp any eq ftp-data any
og lavet et nyt filter på mit local interface: interface FastEthernet0 description Local Network - internal ip address 10.10.1.1 255.255.255.0 ip access-group 121 out
>Jeg ønsker at lukke af for uønsked trafik ude fra internettet ping, telnet, >netbios o.s.v og herved beskytte mit LAN fra netbios o.s.v
God ide... :) Er gjort med overstående ACL
Jeg ønske også at lukke af for uønsked trafik fra mit LAN og ud på internettet, således at jeg ikke kan bruges som hacker-station, hvis jeg bliver hijacked pga. virus eller trojanske heste ol.
Også god ide...
Men så skal det være:
interface FastEthernet0 ip access-group 121 in (og ikke out)
In og Out er hvad interfacet ser... . Dvs. dine inside request fra inside og videre ud, kommer "in" på dit FastEthernet (inside).. og "out" på dit Ethernet (outside)
Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.
