Sinnvolle access-list für Cisco 803 erstellen
geschrieben am 05.03.2010 um 16:06 von Roger_Rabbit
Hallo Ihr Netzwerker !
Nachdem vor 3 Wochen unser DLink304 ISDN Router abgeraucht ist, ( im wahrsten Sinne des Wortes ), habe ich mir aus der Bucht einen Cisco 803
besorgt . War natürlich ( wie solls auch anders sein ) NICHT zurückgesetzt,
und das dusselige Consolenkabel fehlte auch . Also erstmal ein Rollover Kabel
zusammengeplötet . AHA ! Die Kiste ist ansprechbar ! FREU ! Und erstmal schlaugelesen im Netz, wie die Ciscos so ticken. Nach einer Woche Frickelei
verstehen wir uns inzwischen ganz gut, er geht auch brav on + offline.alles
Supi .
Meine Frage ist nun : Wie sieht eine sinnvolle access-list aus für das Teil ?
Soll ich mal meine Config posten ?
Weil so langsam habe ich keine Lust mehr auf try and error ;-)
LG, Roger
geschrieben am 05.03.2010 um 17:57 von bewa
Re: Sinnvolle access-list für Cisco 803 erstellen
Meine Frage ist nun : Wie sieht eine sinnvolle access-list aus für das Teil?
Alles sperren und nur das Benötigte freigeben. :-) Wie du merkst, lässt sich die Frage in dieser Form nicht sinnvoll beantworten. Was genau hast du vor? Internet-Zugriff und sonst "nix"?
Soll ich mal meine Config posten ?
Immer gerne. Passwörter bitte kürzen oder verfremden, ansonsten her damit. :-)
Weil so langsam habe ich keine Lust mehr auf try and error ;-)
Fehlerbeschreibungen zu deiner Config kannst du natürlich auch hier rein packen. Wir sind nicht allwissend, aber das meiste bekommen wir schon noch hin. Verstehen ist bei Firewall-Configs wesentlich wichtiger als Copy&Paste... ;-)
geschrieben am 05.03.2010 um 22:43 von Roger_Rabbit
Zu 1 : Ja.. nur Internet.... keine Verbindungen zu anderen Routern .
Zu 2 : Ja.. mach ich gleich .
Zu 3 : Das ist eine config, die funzt. Ich hatte bei der ganzen rumdokterei es sogar geschafft, das IOS zu löschen...<hüstel>... nicht nur im Flash, sondern auch im NVRam... hihihi... jajaja.. ist Euch noch nie passiert...... *G
Also das einzige zur Verfügung stehende IOS aus dem Netz gezogen, was es gibt.....mit xmodem bei 9,6 KB Baud rübergeschaufelt....und : Seitdem weiss die Kiste, das es kein Toaster.....sondern ein Router ist . *g
Seitdem bin ich mit dem Befehl : erase sehr, sehr vorsichtig ! <lächel>
Und ich habe auch die Sinnlos Config Maker + Co ausprobiert..nein danke...
Die machen mehr Müll, als man das über Console schafft... ehrlich .
Aber inzwischen läuft das über´s CLI sehr gut . Ist so ähnlich wie in den alten DOS Zeiten . Kenne auch noch Sinnlos 3.1 . *g
Natürlich ist eine Web-Oberfläche easyer... nur...macht das Sinn bei (glaube beim 803 Ios 900 Befehle ? )
Bei den späteren Ciscos über 2 K Befehle ?
Nicht umsonst gibbet nun über 6 Zertifikate, die mensch als Cisco Admin haben muss. Ok.. als Job schon ok..... nur doch nicht, wenn man nur einen alten Router zuhause hat .
Obwohl ich sagen muss... es hat mir wirklich Spaß gemacht, mich damit zu beschäftigen.... nach dem Motto : Dich krich ich noch !!!
Ich kannte ja nur den DLink... ab aufs Web Interface....ein paar Sachen eingeben...alles gut. DER hatte sogar 100TBase.... bei ISDN aber eher vernachlässerbar *g
Es sei denn, man will Daten von 1 Pc auf anderen schieben.
Das kann der Cisco nur mit TB10 . :(
Ich schweife ab vom Thema..... SORRY !!!
geschrieben am 06.03.2010 um 00:36 von Roger_Rabbit
die Config :
suuuch......
mom....
Router#sh ru
Building configuration...
Current configuration : 1476 bytes
!
version 12.2
no service single-slot-reload-enable
no service pad
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname Router
!
logging rate-limit console 10 except errors
enable secret 5 XXX
!
!
ip subnet-zero
!
no ip domain-lookup
no ip finger
no ip dhcp-client network-discovery
isdn switch-type basic-net3
!
!
!
interface Ethernet0
description LAN connection
ip address 192.168.0.1 255.255.255.0
ip nat inside
no cdp enable
!
interface BRI0
description physical ISDN interface
no ip address
ip nat outside
encapsulation ppp
dialer rotary-group 1
isdn switch-type basic-net3
cdapi buffers regular 0
cdapi buffers raw 0
cdapi buffers large 0
no cdp enable
!
interface Dialer1
description connection to Internet via EWE
ip address negotiated
ip nat outside
encapsulation ppp
no ip split-horizon
dialer in-band
dialer idle-timeout 300
dialer string 080XXX
dialer hold-queue 10
dialer-group 1
no cdp enable
ppp authentication chap pap callin
ppp chap hostname XXX
ppp chap password 7 XXX
ppp pap sent-username XXX password 7 XX
!
ip nat inside source list 1 interface Dialer1 overload
no ip http server
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer1
!
access-list 1 permit any
dialer-list 1 protocol ip permit
no cdp run
!
line con 0
transport input none
stopbits 1
line vty 0 4
login
!
no rcapi server
!
!
end
---------------------------
und die access-list gefällt mir momentan nicht sooo....
DAS muss doch besser gehen .
Oder ?
LG, Roger
geschrieben am 11.03.2010 um 15:58 von Otaku19
tjo, solange du sie nicht via access-group auch wo gebunden hast, bringt sie auch genau garnichts.
du musst di erst mal wo binden und dann eben freigeben was du brauchst...aber da gibts noch so viel was da nicht so recht passt...schade das nipper nicht mehr frei erhältlich ist. Je nach IOS könntest du auch ne Firewallartige lösung basteln.
geschrieben am 14.03.2010 um 01:34 von Roger_Rabbit
tjo, solange du sie nicht via access-group auch wo gebunden hast, bringt sie auch genau garnichts.
du musst di erst mal wo binden und dann eben freigeben was du brauchst...aber da gibts noch so viel was da nicht so recht passt...schade das nipper nicht mehr frei erhältlich ist. Je nach IOS könntest du auch ne Firewallartige lösung basteln.
Dolle Wurst..... bringt mich echt weiter *ggg
Es ist einfach so, das ich z.B. netbios nicht zulassen will.
Das das von haus auf nicht geht.... internes LAN natürlich.
Ich habe soviele Configs im Netz gefunden... ok... aber schlüssig sind die für mich nicht....deswegen frage ich ja .
CISCO ist schon echt Klasse..... nur das Umgehen damit....ist nicht so einfach .
Hab inzwischen auch wieder einen D-Link 304.... nettes Webinterface... kann ich mit üm .
Ich möchte nur verstehen, wie ich dem Cisco die Firewall beibringen kann..
so das das auch ein Anfänger wie ich verstehen kann.
Bitte nicht missverstehen nun..... inzwischen kann ich mit dem IOS gut üm ;-)
Und ich weiss nun auch was erase ist.... da war er naggisch . Und ich dummes Gesicht .
#
Und im WWW gibbet nur 1 einziges File für den 803..... aber das funzt !
...
back to the roots : Kann mir jemand die Access List mal erklären ?
Ist hirarchisch aufgebaut...ok.
Welche Einträge würden Sinn machen als Firewall ?
geschrieben am 15.03.2010 um 07:15 von Otaku19
nicht bös sein, aber: a fool with a tool is still a fool.
Solange du kein "Konzept" im Kopf hast kannst du mit IOS so gut umgehen können wie du willst, es wird dir trotzdem nichts bringen. heisser tipp ist immer cisco.com da gibt es massenweise Cnfig, für dich wäre das Stichwort "CBAC", vielleicht bekommt man sogar eien zone-based Firewall damit hin...baer fürn Anfang reicht mal eine stinknormale CBAC Firewall..nur befürchte ich eben das du da zumidnest ein bestimmtes Featureset benötigst.
geschrieben am 19.03.2010 um 18:45 von Roger_Rabbit
nicht bös sein, aber: a fool with a tool is still a fool.
Ähm.... shure... ;)
Konzept..... nunja... eingehenden NetBios z.B. blocken.
Gewisse Ports, die bekannterweise Spyware, Trojis o.äh. einschleusen wollen, zu blocken .
Nach CBAC werde ich mal suchen und ver-suchen, dadraus schlau zu werden .
Melde mich dann wieder .
Erstmal ein Dankeschön für die Tipps !
LG, Roger
[ Dieses Thema im Live-Forum aufrufen ]
| 
