1
Cisco IOS auf 1800er Portfreigabe NAT
Hallo,
meine Cisco IOS Kenntnisse sind leider recht bescheiden. Bei den Hilfen im Netz habe ich zwar Ansätze gefunden. Irgendwie bekomme ich es aber leider nicht richtig hin.
Hintergrund:
Cisco 1861 Router stehen in unseren Außenstellen und sind per Tunnel an die Zentrale angebunden. Der Internet Traffic läuft über den Tunnel zur Zentrale und dann
durch den Proxy ins Web.
Nun muss ich allerdings an einer Außenstelle eine direkte Verbindung nach außen erlauben. Ich habe da einen DNS Server stehen der direkt raus soll. Idealerweise natürlich
nur mit DNS Protokoll.
Folgende Konfiguration ist bereits vorhanden (ich habe die Daten anonymisiert).
!
ip access-list extended NATOUT
!--- Ausgehende Verbindung zu einem Kunden von allen internen Rechnern zulassen
permit ip 10.1.0.0 0.0.255.255 host 123.123.123.123
ip access-list extended OUTSIDE
permit esp any any
permit udp any any eq isakmp
permit icmp any any
permit udp any any eq non500-isakmp
!--- Fernzugriff von externen Dienstleister SSH ermöglichen
permit tcp 111.111.111.111 0.0.0.15 any eq 22
!--- Eingehend von Kunden kommend erlauben
permit ip host 123.123.123.123 any
!
Was müsste ich da einfügen, um DNS Abfragen des internen Rechners 10.1.2.3 zuzulassen?
Danke im Voraus!
meine Cisco IOS Kenntnisse sind leider recht bescheiden. Bei den Hilfen im Netz habe ich zwar Ansätze gefunden. Irgendwie bekomme ich es aber leider nicht richtig hin.
Hintergrund:
Cisco 1861 Router stehen in unseren Außenstellen und sind per Tunnel an die Zentrale angebunden. Der Internet Traffic läuft über den Tunnel zur Zentrale und dann
durch den Proxy ins Web.
Nun muss ich allerdings an einer Außenstelle eine direkte Verbindung nach außen erlauben. Ich habe da einen DNS Server stehen der direkt raus soll. Idealerweise natürlich
nur mit DNS Protokoll.
Folgende Konfiguration ist bereits vorhanden (ich habe die Daten anonymisiert).
!
ip access-list extended NATOUT
!--- Ausgehende Verbindung zu einem Kunden von allen internen Rechnern zulassen
permit ip 10.1.0.0 0.0.255.255 host 123.123.123.123
ip access-list extended OUTSIDE
permit esp any any
permit udp any any eq isakmp
permit icmp any any
permit udp any any eq non500-isakmp
!--- Fernzugriff von externen Dienstleister SSH ermöglichen
permit tcp 111.111.111.111 0.0.0.15 any eq 22
!--- Eingehend von Kunden kommend erlauben
permit ip host 123.123.123.123 any
!
Was müsste ich da einfügen, um DNS Abfragen des internen Rechners 10.1.2.3 zuzulassen?
Danke im Voraus!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 180691
Url: https://administrator.de/contentid/180691
Printed on: April 27, 2024 at 02:04 o'clock
1 Comment
Ist analog wie die anderen ACL Statements. Da DNS Port TCP und UDP 53 benutzt sieht es dann so aus:
permit tcp host 10.1.2.3 any eq 53
permit udp host 10.1.2.3 any eq 53
Das gilt jetzt für eine incoming ACL !
permit tcp host 10.1.2.3 any eq 53
permit udp host 10.1.2.3 any eq 53
Das gilt jetzt für eine incoming ACL !