Cisco 3550 filter

Har selvfølgelig også et interface til Internettet:
interface GigabitEthernet0/1
no switchport
ip address 192.168.194.11 255.255.254.0
ip access-group 100 out
no ip redirects
no ip unreachables
no ip proxy-arp
!
ip route 0.0.0.0 0.0.0.0 192.168.194.1

1. Mener du ikke 192.168.26.59 og 192.168.26.60 istedet for 28 i 3. octet?

2. Access-lister redigeres på en alm. IOS ved at fjerne hele access-listen og ligge den på igen. Det vil sige at du tager en kopi af din access-liste og ligger den i notepad og laver dine rettelser og ligger den på igen. Husk at fjerne den fra interfacet også hvis du er telnet'et til routeren igennem det interface du roder med for ellers klipper du din forbindelse til routeren, da en tom access-liste vil være = deny any any.

det jeg mener er f.eks. at lave et dokument der ser sådan ud:

interface FastEthernet0/1
no ip access-group 101 in
!
no access-list 101
access-list 101 permit blablabla
access-list 101 permit blablablabla
access-list 101 permit blablablabumbum
access-list 101 deny blablablatralallaa
!
interface FastEthernet0/1
ip access-group 101 in
!

Hjalp ikke helt vildt... har selv fundet ud af det...

Tsk tsk!

Det der er simpelthen at tage tykt pis på dem som gider at yde en frivillig og gratis hjælp til dig.

Under normale omstændigheder ville du ikke kunne få min hjælp for under 1000 kroner i timen og alligevel skider du højt og flot på at jeg gider at forsøge at hjælpe dig. Det er præcist sådan nogle som dig der gør at mange kompetente personer ikke gider deltage på eksperten. Du burde skamme dig.

"no access-list 101" virker ikke og "access-list 101 permit blablabla" hjælper jo ikke ligefrem specielt meget... "access-list 101 permit" er jo bare at slå op i Cisco 3550 reference, der er ligesom "blablabla" jeg var ude efter :)

1. For det første spurgte jeg ind til en fejl i det du havde skrevet. Den fik jeg aldrig svar på og kunne derfor ikke uddybe præcist hvad du ville have. Blabla kunne du ikke få svaret på førend at du rettede fejlen og gav mig den rigtige ip-adresse. Jeg vil tillade mig at det nok engang er din manglende forståelse for det du sidder og laver der gør at du ikke forstår hvad man skriver til dig. Hvis du ikke forstår hvad man skriver til dig, så spørg om hvad du er i tvivl om sådan jeg eller andre kan uddybe eller forklare det på en anden måde for dig.

2. Jeg forklarede dig hvordan du redigerede din access-liste og jo, "No access-list 101" virker, så den vil jeg tillade mig at kalde enn fejl 40. Som man kan se i andre spørgsmål du stiller så mangler du basal forståelse for det du skriver og derfor kommer det til at lyde som noget rod. Når man så prøver at forklarer dig det eller spørge ind til hvad du mener, så lukker du det med "løste det selv". Det er mega dårlig stil overfor folk der er langt mere kvalificeret end dig gider at bruge tid på at forklare tingene for dig på en yderst saglig måde. Ingen har nedgjort dig selvom dine spørgsmål virkelig har været himmelråbende fejlagtige og dette er så din måde at takke på. Vor herre bevares. Jeg håber at admins vælger at udelukke dig fra eksperten som følge af min anmeldelse.

> access-list 175 remark DNS server

kunne ikke fjernes med
> no access-list 175 remark DNS server

fordi access-list 175 ikke indeholder andet end remarks

hvis jeg f.eks. laver:

(login, conf t, osv)

> access-list 175 permit IP any any
> no access-list 175

så virker det... sikkert en fejl i IOS.

Og det jeg var interesseret i var hvordan access listerne skulle se ud (in/out-filtrene) for at tillade netop de services jeg har på de forskellige hosts, ikke hvordan syntaksen er for ip access-list, og access-group.

eksempel:
access-list 100 remark allow router critical multicast
access-list 100 permit ip any 224.0.0.0 0.0.0.255
access-list 100 remark block bootp/dhcp
access-list 100 deny  udp any any eq bootps
access-list 100 deny  udp any any eq bootpc
access-list 100 remark block routed
access-list 100 deny  udp any any eq rip
access-list 100 deny  udp any any eq 521
access-list 100 remark allow from router inteface
access-list 100 permit ip host 192.168.194.11 any
access-list 100 remark allow from test networks
access-list 100 permit ip 192.168.26.0 0.0.0.255 any
access-list 100 deny  ip any any

1. Ja, det var access-listerne du var interesseret i, men du havde lavet en fejl så før du rettede den kunne du ikke få svaret. Iøvrigt overholder din access-liste ikke dine egne kriterier + der er sikkerhedsissues og linier der er udnødvendige.

2. Prøv nu at løs min første indlæg bare en smule bedre og du ville fatte hvordan "no access-list" skal benyttes. For nej du kan ikke lave "no access-list permit blalbal", men det skrev jeg jo netop heller ikke.