Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Frage Netzwerke Router & Routing

GELÖST

ACL verursacht WAN hänger

Mitglied: ozer

ozer (Level 1) - Jetzt verbinden

14.05.2013 um 14:06 Uhr, 1659 Aufrufe, 5 Kommentare

Hallo zusammen,

könnt Ihr euch mal bitte diese ACL ansehen. Ist für das WAN Interface eines Cisco 1812.
Lan Ip-Netz ist die 192.168.100.0. (WAN Interface IP Adresse ist xx.xx.xx.170, LAN IP Adresse ist 192.168.100.170)

Sobald ich die ACL dem öffentlichen Interface nicht mehr zuordne klappt der Zugriff auf das Internet.
Die ACL habe ich über das SDM erzeugt.

access-list 101 remark auto generated by SDM firewall configuration
access-list 101 remark SDM_ACL Category=1
access-list 101 permit udp host 80.69.100.174 eq domain host xx.xx.xx.170
access-list 101 permit udp host 8.8.8.8 eq domain host xx.xx.xx.170
access-list 101 permit icmp any host xx.xx.xx.170 echo-reply
access-list 101 permit icmp any host xx.xx.xx.170 time-exceeded
access-list 101 permit icmp any host xx.xx.xx.170 unreachable
access-list 101 deny ip 10.0.0.0 0.255.255.255 any
access-list 101 deny ip 172.16.0.0 0.15.255.255 any
access-list 101 deny ip 127.0.0.0 0.255.255.255 any
access-list 101 deny ip host 255.255.255.255 any
access-list 101 deny ip host 0.0.0.0 any
access-list 101 deny ip any any log


Beste Grüße
Mitglied: DerSchorsch
14.05.2013, aktualisiert um 14:48 Uhr
Hallo,

auch wenn das nicht deine vollständige Konfig ist, wenn du nur diese ACL auf dem externen Interface hast, werden schlicht alle Antworten geblockt.
Nutze die ip inspect Funktion. Damit aktivierst du die stateful packet inspection, gerade in Kombination mit NAT sinnvoll.

in global Config z.B.:
ip inspect name Internet ftp
ip inspect name Internet dns
ip inspect name Internet tcp router-traffic
ip inspect name Internet udp router-traffic
ip inspect name Internet icmp router-traffic



auf dem WAN-Interface
ip inspect Internet out

Gruß,
Schorsch

P.S.
eigentlich hätte das SDM diese auch anlegen müssen.
Bitte warten ..
Mitglied: ozer
14.05.2013 um 15:15 Uhr
Danke für die Info Schorsch, aber ich habe im globalen teil ja die ip inspect Function. Habe ich nicht erwähnt, hast vollkommen recht.

ip name-server 8.8.8.8
ip name-server 80.69.100.174
ip inspect log drop-pkt
ip inspect name SDM_HIGH appfw SDM_HIGH
ip inspect name SDM_HIGH icmp
ip inspect name SDM_HIGH dns
ip inspect name SDM_HIGH esmtp
ip inspect name SDM_HIGH https
ip inspect name SDM_HIGH imap reset
ip inspect name SDM_HIGH pop3 reset
ip inspect name SDM_HIGH tcp
ip inspect name SDM_HIGH udp
!
appfw policy-name SDM_HIGH
application im aol
service default action reset alarm
service text-chat action reset alarm
server deny name login.oscar.aol.com
server deny name toc.oscar.aol.com
server deny name oam-d09a.blue.aol.com
audit-trail on
application im msn
service default action reset alarm
service text-chat action reset alarm
server deny name messenger.hotmail.com
server deny name gateway.messenger.hotmail.com
server deny name webmessenger.msn.com
audit-trail on
application http
strict-http action reset alarm
port-misuse im action reset alarm
port-misuse p2p action reset alarm
port-misuse tunneling action reset alarm
application im yahoo
service default action reset alarm
service text-chat action reset alarm
server deny name scs.msg.yahoo.com
server deny name scsa.msg.yahoo.com
server deny name scsb.msg.yahoo.com
server deny name scsc.msg.yahoo.com
server deny name scsd.msg.yahoo.com
server deny name cs16.msg.dcn.yahoo.com
server deny name cs19.msg.dcn.yahoo.com
server deny name cs42.msg.dcn.yahoo.com
server deny name cs53.msg.dcn.yahoo.com
server deny name cs54.msg.dcn.yahoo.com
server deny name ads1.vip.scd.yahoo.com
server deny name radio1.launch.vip.dal.yahoo.com
server deny name in1.msg.vip.re2.yahoo.com
server deny name data1.my.vip.sc5.yahoo.com
server deny name address1.pim.vip.mud.yahoo.com
server deny name edit.messenger.yahoo.com
server deny name messenger.yahoo.com
server deny name http.pager.yahoo.com
server deny name privacy.yahoo.com
server deny name csa.yahoo.com
server deny name csb.yahoo.com
server deny name csc.yahoo.com
audit-trail on

und im Interface habe ich dann auch ip inspect SDM_HIGH out eingetragen.
Bitte warten ..
Mitglied: aqui
14.05.2013, aktualisiert um 18:56 Uhr
Das wichtigste hast du uns nicht mitgeteilt nämlich ob die ACL inbound oder outbound am Interface hängt !
Wie man es richtig macht erklärt dir dieses Tutorial:
http://www.administrator.de/wissen/konfiguration-cisco-886va-mit-adsl-o ...
Und so ein Mist wie SDM sollte man besser vergessen. "Real man do CLI..."!
Bitte warten ..
Mitglied: ozer
15.05.2013, aktualisiert um 09:25 Uhr
Hallo aqui,

danke für den Tip, ich schau mal ob da etwas schief läuft.

Bei mir siehts auf dem INterface FE1 (WAN) so aus

ip access-group 101 in
ip nat outside
ip inspect SDM_HIGH out

Scheint aber so korrekt zu sein, oder?
Bitte warten ..
Mitglied: ozer
15.05.2013 um 12:14 Uhr
Danke euch beiden, für eure super Hilfe.
Aqui dir besonders wegen dem super Tutorial...
Bitte warten ..
Ähnliche Inhalte
Windows Userverwaltung
ACL - Vererbung
gelöst Frage von TlBERlUSWindows Userverwaltung8 Kommentare

Guten Morgen, ich schreibe zur Zeit ein Powershell-Skript, um Berechtigungen zu vergeben. Dabei bin ich entsprechend auf Inheritance-Flags gestoßen. ...

Router & Routing
ACL Konfiguration HP1920 mit VLANs
gelöst Frage von markuswoRouter & Routing9 Kommentare

Hallo Community, nach langsamen ersten Erfolgen mit ACL's auf einem HP 1920 stellt sich mir dann doch eine Frage. ...

Windows Server
Wie tote SIDs aus der ACl löschen?
Frage von minimalwerkWindows Server4 Kommentare

Hallo liebe Community, gibt es ein Windows Boardmittel (ich arbeite mit Server 2012 R2) mit dem ich tote SIDs ...

Router & Routing
HP Procurve 5406 und ACLs
gelöst Frage von 14116Router & Routing11 Kommentare

Hallo Leute, bitte um Hilfe. ich komm‘ nicht dahinter warum das da nicht funktioniert. Wieso kann - Vom Netz 172.21.2.x ...

Neue Wissensbeiträge
Router & Routing

PfSense als Addon auf QNAP

Information von magicteddy vor 8 StundenRouter & Routing2 Kommentare

Moin, für Spielereien eine ganz nette Idee aber ich fürchte das soetwas auch als echte Firewall genutzt wird: In ...

Datenschutz

Teamviewer kommt für IoT-Geräte wie den Raspberry Pi

Information von magicteddy vor 15 StundenDatenschutz

Moin, jetzt werden IoT Geräte endgültig zur Wanze? Anscheinend kann man auf einem Dashboard seine Geräte visualisieren Ich stelle ...

Microsoft

Letzte Updates für Win10 und Server2016 müssen bei Bedarf über den Update catalogue in den WSUS importiert werden!

Tipp von DerWoWusste vor 19 StundenMicrosoft1 Kommentar

automatisch kommt da nichts an im WSUS und auch nicht im SCCM. Siehe Hinweise zum Bezug der jeweils neuesten ...

Linux

Meltdown und Spectre: Linux Update

Information von Frank vor 3 TagenLinux

Meltdown (Variante 3 des Prozessorfehlers) Der Kernel 4.14.13 mit den Page-Table-Isolation-Code (PTI) ist nun für Fedora freigegeben worden. Er ...

Heiß diskutierte Inhalte
Netzwerkmanagement
Preis für Wartungsvertrag ok?
gelöst Frage von a-za-zNetzwerkmanagement22 Kommentare

Hallo! Mal ne Frage, weil ich mich mit dem akzeptablen Preis für einen Reaktionszeitvertrag nicht auskenne. Meine Firma hat ...

Windows Netzwerk
Ist ein Portforwarding auf einen PC ohne lauschendes Programm ein (großes) Sicherheitsproblem?
Frage von PluwimWindows Netzwerk13 Kommentare

Hallo zusammen, zur Fernwartung eines Rechners an einem anderen Ort nutze ich VNC. Da dieser Rechner einfach nur eine ...

Windows Server
Terminal Server 2016 erkennt Berechtigungen nicht
gelöst Frage von Thomas2Windows Server10 Kommentare

Hallo Administratoren, folgendes Problem stellt sich dar: Es gibt zwei Windows Server 2016, die als Terminal Server fungieren. Jetzt ...

Sonstige Systeme
7-zip: Programm frägt nach Passwort erst bei einzelnen Dateien
Frage von freeskierchrisSonstige Systeme7 Kommentare

Guten Morgen, ich habe ein Problem beim Arbeiten mit 7-zip: Wenn ich die einzelnen Dateien zu einem Archiv verpacke ...