Nu ben ik niet echt een Cisco-n00b, maar kom op mijn mooie fonkelnieuwe 837 toch een raar probleem tegen.
Situatie:
- Ik heb een Cistron 2Mbit ADSL-lijn, en heb nu mijn 837 voor deze lijn geconfigureerd. So far so good.
- De config gebruikt een bridged config d.m.v. een BVI-interface. Werkt ook prima.
- NAT is geconfigureerd met de BVI als outside, werkt ook als een zonnetje.
Probleem:
Ik wil een access-list aan de BVI interface hangen om er voor te zorgen dat ik niet aan alle kanten open sta. Ik heb een DNS-, web-, FTP- en mailserver op mijn LAN staan die direct benaderbaar moet zijn. Daarvoor heb ik netjes de NAT-entries toegevoegd:
Als ik nu de access-list voor de BVI interface verander om alleen het juiste verkeer voor deze server toe te laten, laat hij niets meer toe. De access-list zou zo iets moeten zijn:
Als ik bovenstaande access-list instel, komt er geen verkeer meer door naar de server...als ik de access-list helemaal open stel doet 'ie het wel:
....iemand een idee? Wat zie ik over het hoofd?
Situatie:
- Ik heb een Cistron 2Mbit ADSL-lijn, en heb nu mijn 837 voor deze lijn geconfigureerd. So far so good.
- De config gebruikt een bridged config d.m.v. een BVI-interface. Werkt ook prima.
- NAT is geconfigureerd met de BVI als outside, werkt ook als een zonnetje.
Probleem:
Ik wil een access-list aan de BVI interface hangen om er voor te zorgen dat ik niet aan alle kanten open sta. Ik heb een DNS-, web-, FTP- en mailserver op mijn LAN staan die direct benaderbaar moet zijn. Daarvoor heb ik netjes de NAT-entries toegevoegd:
code:
1
2
3
4
5
6
| ip nat inside source static udp 192.168.1.2 53 interface BVI1 53 ip nat inside source static tcp 192.168.1.2 80 interface BVI1 80 ip nat inside source static tcp 192.168.1.2 20 interface BVI1 20 ip nat inside source static tcp 192.168.1.2 21 interface BVI1 21 ip nat inside source static tcp 192.168.1.2 110 interface BVI1 110 ip nat inside source static tcp 192.168.1.2 25 interface BVI1 25 |
Als ik nu de access-list voor de BVI interface verander om alleen het juiste verkeer voor deze server toe te laten, laat hij niets meer toe. De access-list zou zo iets moeten zijn:
code:
1
2
3
4
5
6
7
| access-list 102 permit udp any host 192.168.1.2 eq domain access-list 102 permit tcp any host 192.168.1.2 eq www access-list 102 permit tcp any host 192.168.1.2 eq ftp-data access-list 102 permit tcp any host 192.168.1.2 eq ftp access-list 102 permit tcp any host 192.168.1.2 eq pop3 access-list 102 permit tcp any host 192.168.1.2 eq smtp access-list 102 permit icmp any any |
Als ik bovenstaande access-list instel, komt er geen verkeer meer door naar de server...als ik de access-list helemaal open stel doet 'ie het wel:
code:
1
2
| access-list 102 permit ip any any access-list 102 permit icmp any any |
....iemand een idee? Wat zie ik over het hoofd?
/u/11917/cheshirecat.png?f=community)