Extended ACL wat doe ik verkeerd?? - Serversoftware en clouddiensten

donderdag 26 september 2002 10:44

Acties:

el mosquito

Topicstarter

access-list 101 permit ip *.*.*.* 0.0.0.64 any
access-list 101 permit tcp *.*.*.* 0.0.0.64 any
access-list 101 permit udp *.*.*.* 0.0.0.64 any
access-list 101 permit icmp *.*.*.* 0.0.0.64 any

access-list 101 permit tcp any any eq 30000

access-list 101 deny ip any any
access-list 101 deny tcp any any
access-list 101 deny udp any any
access-list 101 deny icmp any any

interface BRIO:1

ip access-group 101 in

p.s. het is een Cisco 1720 router IOS 12.0

Het traffic wat ik permit gaat er ook niet meer doorheen

Is er geen commando wat ik kan gebruiken dat alle protocollen in 1 keer worden toegepast? (nu moet ik elke keer ip, tcp, udp en icmp appart doen)

Alvast bedankt!

Innocam | Synology Camera Licentie per E-mail

donderdag 26 september 2002 11:52

Acties:

ferrero

el mosquito

Topicstarter

Het is zelfs nog gekker!!

access-list 101 permit ip *.*.*.* 0.0.0.64 any
access-list 101 permit tcp *.*.*.* 0.0.0.64 any
access-list 101 permit udp *.*.*.* 0.0.0.64 any
access-list 101 permit icmp *.*.*.* 0.0.0.64 any
interface BRIO:1
ip access-group 101 in
= NIET WERKEN

access-list 1 permit *.*.*.* 0.0.0.64
interface BRIO:1
ip access-group 1 in
= WEL WERKEN

Wie kan me vertellen wat ik fout doe

Innocam | Synology Camera Licentie per E-mail

donderdag 26 september 2002 13:31

Acties:

Whizzer

Flappie!

tcp, udp en icmp zitten in de ip, dus da's een beetje dubbeldubbelop...

waarom een extended als je nog niet eens protocollen specificeert in de acl?

Ik ben geweldig.. en bescheiden! En dat siert me...

donderdag 26 september 2002 14:00

Acties:

ferrero

el mosquito

Topicstarter

omdat tcp poort 30000 wel voor de hele wereld moet open blijven (zie eerste post)

Innocam | Synology Camera Licentie per E-mail

donderdag 26 september 2002 14:16

Acties:

Verwijderd

Jouw access-list filterd op het 7e bitje (van rechts) en jij bedoelt vast dat je de eerste 64 hosts door wil laten.
Dan wordt het dus: *.*.*.* 0.0.0.63.
Wil je het tweede 64-blok hebben, wordt het *.*.*.64 0.0.0.63.
Het derde blok *.*.*.128 0.0.0.64
etc.

Weet je trouwens zeker dat je 'ip access-group 1 in' wilt? Meestal wil je namelijk over een BRI naar buiten bellen ('out' dus).

Succes !

donderdag 26 september 2002 14:20

Acties:

Whizzer

Flappie!

aaaa, de sterretjes beginnen zich langzaam te verklaren...

code:

1
2
3

access-list 101 permit ip 1.2.3.0 0.0.0.63 any
access-list 101 permit tcp any any eq 30000
access-list 101 deny ip any any

Ik ben geweldig.. en bescheiden! En dat siert me...

donderdag 26 september 2002 14:26

Acties:

ferrero

el mosquito

Topicstarter

En waarom werkt het bij een standaard access-list dan wel?

Innocam | Synology Camera Licentie per E-mail

donderdag 26 september 2002 14:34

Acties:

Verwijderd

Geen idee. Zal vast wel een verklaring voor zijn, maar ik weet 'm zo niet...

donderdag 26 september 2002 14:40

Acties:

Whizzer

Flappie!

en doet die dan ook precies wat ie moet doen, of heeft ie het misschien nog aangepast naar 63???

Ik ben geweldig.. en bescheiden! En dat siert me...

donderdag 26 september 2002 15:16

Acties:

ferrero

el mosquito

Topicstarter

Ok jongens het werkt!!

Het aanpassen naar 63 was inderdaad de oplossing voor de extended ACL.
Alleen erg raar dat het met de standaard ACL wel werkte

Allemaal bedankt!

Innocam | Synology Camera Licentie per E-mail

vrijdag 27 september 2002 11:23

Acties:

Verwijderd

Nog een vraagje wat hiermee mee te maken heb.

Waarom werkt deze regel niet? :

access-list 101 permit tcp any any eq http

Als foutmelding krijg ik:
% Invalid input detected at '^' marker.

En het dakje staat onder de http

vrijdag 27 september 2002 13:04

Acties:

Verwijderd

Ik heb even geen cisco bij de hand dus ik kan het niet controleren, maar volgens mij was het keyword www in plaats van http bij een extended access list. Je kan altijd het poortnummer opgeven in je ACL en als het IOS een bijbehorend keyword voor die poort kent, dan zie je die vervolgens terug als je een "show ip access list <naam>" doet.

vrijdag 27 september 2002 13:17

Acties:

Verwijderd

keyword www doet het ook niet

krijg hetzelfde als html.

misschien een te oude IOS? ik gebruik nu 12.0

vrijdag 27 september 2002 14:29

Acties:

Verwijderd

doe dan gewoon 80, i.p.v. de afkortingen die ios voor je verzint.

vrijdag 27 september 2002 16:07

Acties:

Whizzer

Flappie!

het moet in ieder geval zijn met "eq www" als je per se op naam wil

Ik ben geweldig.. en bescheiden! En dat siert me...

maandag 30 september 2002 08:25

Acties:

Verwijderd

en type eens een vraagteken op het punt vanaf waar jij en je router elkaar niet begrijpen, als dat niet werkt zij jullie rijp voor relatie terapie.

maandag 30 september 2002 09:32

Acties:

Verwijderd

Dit is mn extended ACL nu:

access-list 101 permit ip *.*.*.* 0.0.0.63 any
access-list 101 permit 80 any any
access-list 101 deny ip any any
interface BRI0:1
ip access-group 101 in

BRIO:1 is mn ISDN lijn.

Het probleem ik kan nog steeds niet met de PC's achter deze router surfen of downloaden (poort 80).
ipv
access-list 101 permit 80 any any heb ik ook al
access-list 101 permit tcp any any eq 80 geprobeerd, maar helaas zonder resultaat.

Kan iemand mij vertellen wat ik fout doe?

maandag 30 september 2002 14:15

Acties:

Verwijderd

Kan echt niemand me hiermee helpen?

Ik zit helemaal vast met dit probleem...

p.s. heb poort 53 voor dns ook open gezet. Maar zonder resultaat

maandag 30 september 2002 14:47

Acties:

Verwijderd

access-list 101 permit tcp any *.*.*.* 0.0.0.63 established

probeer dat eens, ik denk dat naar buiten wel gaat bij jou maar omdat HTTP requests op diverse poortnummers terugkomen naar je client komen ze niet door de access-list.

maandag 30 september 2002 15:14

Acties:

Verwijderd

Verwijderd schreef op 30 september 2002 @ 14:47:
access-list 101 permit tcp any *.*.*.* 0.0.0.63 established

probeer dat eens, ik denk dat naar buiten wel gaat bij jou maar omdat HTTP requests op diverse poortnummers terugkomen naar je client komen ze niet door de access-list.

Heb ik ook geprobeerd maar wil niet helpen

p.s.
Vind het wel raar dat je alleen maar established kan gebruiken met tcp en niet met ip.

Mn (niet http verkeer doorlatende) acl nu:
access-list 101 permit tcp *.*.*.* 0.0.0.63 any established
access-list 101 permit tcp any any eq domain
access-list 101 permit udp any any eq domain
access-list 101 permit tcp any any eq www
access-list 101 deny ip any any
interface BRI0:1
ip access-group 101 in

of:
access-list 101 permit ip *.*.*.* 0.0.0.63 any
access-list 101 permit tcp any any eq domain
access-list 101 permit udp any any eq domain
access-list 101 permit tcp any any eq www
access-list 101 deny ip any any
interface BRI0:1
ip access-group 101 in

Kan iemand me uit de brand helpen?

maandag 30 september 2002 17:05

Acties:

Verwijderd

Ik heb het probleem zelf kunnen oplossen

Het heeft me alleen wel een erg groot gedeelte van me werkdag gekost

access-list 101 permit ip any *.*.*.* 0.0.0.15
was de verlossende regel de * is het IP adres achter de router (default gateway) + lokatie range.

De DNS (poort 53) heb ik er weer uitgehaald. Deze was blijkbaar dus toch niet nodig.

Uiteindelijk is dit de werkende configuratie:
access-list 101 permit ip any *.*.*.* 0.0.0.15
access-list 101 permit ip *.*.*.* 0.0.0.63 any
access-list 101 permit tcp any any eq www
access-list 101 deny ip any any
interface BRI0:1
ip access-group 101 in
exit

Pagina: 1

Reageer