Cisco 801 als Paketfilter nach Router

Dieses Thema im Forum "Cisco" wurde erstellt von lltodoll, 4. März 2010.

  1. lltodoll

    lltodoll Starter

    Registriert seit:
    4. März 2010
    Beiträge:
    9
    Punkte für Erfolge:
    1
    Hi @ all,

    bin gerade dabei ein Paketfilter aus einen alten Cisco 801 Router zu basteln.
    Habe mir folgende ACL generieren lassen (verbesserungsvorschläge gerne erwünscht)

    Code:
    
    #---------- Apply this filter inbound on your WAN interface ----------
    
    #
    # Block invalid source IP addresses
    #
    access-list 101 deny ip 10.0.0.0 0.255.255.255 any
    access-list 101 deny ip 172.16.0.0 0.15.255.255 any
    access-list 101 deny ip 192.168.0.0 0.0.255.255 any
    access-list 101 deny ip 169.254.0.0 0.0.255.255 any
    
    #
    # Block traffic originating from the Internet with a local IP address (spoofing)
    #
    access-list 101 deny ip 192.168.3.0 0.0.0.255 any log
    access-list 101 deny ip 192.168.1.1 0.0.0.0 any log
    
    #
    # Block any attempts to reach the router from the Internet
    #
    access-list 101 deny ip any 192.168.2.1 0.0.0.0 log
    
    #
    # Allow all other inbound traffic to LAN subnet 
    #
    access-list 101 permit ip any 192.168.3.0 0.0.0.255
    
    #
    # Block and log everything else
    #
    access-list 101 deny ip any any log
    
    
    So folgendes Problem:

    Mein Router hat die IP: 192.168.2.1
    Subnetzmaske: 255.255.255.0

    Mein Paketfilter: 192.168.3.2 (gewollt das es ein IP Kreis ist)
    Subnetzmaske: 255.255.255.0
    Default-Gateway 192.168.2.1

    Client: 192.168.3.10
    Subnetzmaske: 255.255.255.0
    Gateway: 192.168.3.2

    So jetzt habe ich folgendes Problem und zwar kann ich ja nicht im Private Netz routen. Und somit bekomme ich keine Verbindung zum Router über mein Paketfilter.
    Geht es so irgendwie oder kann man es so überhaupt nicht bewerkstelligen ?

    Die aktuelle Routerconfig (noch nicht sehr viel)

    Code:
    Current configuration:
    !
    version 12.0
    no service pad
    service timestamps debug uptime
    service timestamps log uptime
    no service password-encryption
    !
    hostname PaketFilter
    !
    no logging console
    enable secret 5 $1$pZDQ$j/fzJPZN.Syb4hT5ATerp.
    !
    username cisco
    clock timezone GMT+01:00 1
    ip subnet-zero
    !
    !
    !
    !
    interface Ethernet0
     ip address 192.168.3.2 255.255.255.0
     no ip directed-broadcast
    !
    interface BRI0
     no ip address
     no ip directed-broadcast
     shutdown
    !
    router rip
     version 2
     network 192.168.3.0
     neighbor 192.168.2.1
    !
    ip http server
    ip classless
    ip route 192.168.3.0 255.255.255.0 192.168.2.0
    ip route 192.168.2.0 255.255.255.0 192.168.3.0
    
    !
    access-list 101 deny ip 10.0.0.0 0.255.255.255 any
    access-list 101 deny ip 172.16.0.0 0.15.255.255 any
    access-list 101 deny ip 192.168.0.0 0.0.255.255 any
    access-list 101 deny ip 169.254.0.0 0.0.255.255 any
    access-list 101 deny ip 192.168.3.0 0.0.0.255 any log
    access-list 101 deny ip 192.168.1.1 0.0.0.0 any log
    access-list 101 deny ip any 192.168.2.1 0.0.0.0 log
    access-list 101 permit ip any 192.168.3.0 0.0.0.255
    access-list 101 deny ip any any log
    
    
    banner motd ^C
    *******************
    *   Paketfilter   *
    *      Cisco      *
    *       801       *
    *******************
    ^C
    !
    line con 0
     transport input none
     stopbits 1
    line vty 0 4
     login
    !
    end 
    
    
    Ich hoffe mir kann jemand helfen...

    PS: Ich kann noch nichtmal den Router bzw Clients im 192.168.2.0er Netz anpingen, obwohl ich doch das Netz route, habe es auch mal einfach mit ne Client, der am Router hing mit einer IP von 217.78.142.5 und das geroutet mit

    ip Route 192.168.3.0 255.255.255.0 217.78.142.0
    ip Route 217.78.142.0 255.255.255.0 192.168.3.0

    Jedoch kann ich den PC auch nicht per Terminal Ping vom Cisco Router anpingen, was mache ich falsch ? Danke für eure Antworten
     
  2. Buchenhunter

    Buchenhunter Gelegenheits-User

    Registriert seit:
    4. März 2010
    Beiträge:
    17
    Punkte für Erfolge:
    1
    Was hast du überhaupt mit dem "Paketfilter" vor?

    Zunächst mal musst du die ACL auf ein Physikalisches Interface binden, damit sie überhaupt klappt.
    config)# interface if-typ if-nr
    (config-if)# ip access-group { acl-nr | acl-name } { in | out }

    Mit nur einer Ethernetschnittstelle die nicht im Subnetz des anderen Routers liegt liegt geht da gar nix. Die beiden Router müssten über ein Transportnetz verbunden sein. Dafür benötigst du eine zweite Ethernetschnittstelle. Es sei denn der Router 192.168.2.1 ist auch ein Cisco, dann könnte man zwar trixen es würde aber keinen Sinn machen :oops: . Die IP "stinkt :D" jedoch nach einer Fritz-Box....

    Das Gateway liegt nicht im Subnetz!

    Sicher dass der Next-Hop die Netzadresse ist?? Auch das geht so nicht.
     
  3. lltodoll

    lltodoll Starter

    Registriert seit:
    4. März 2010
    Beiträge:
    9
    Punkte für Erfolge:
    1
    Hi danke schonmal für deine INFO.

    Das mit der zweiten Ethernet Schnittstelle hört sich irgendwie logisch an, hatte ich wohl ein kleinen Gedankenfehler. Dachte irgendwie man könnte mit same interface arbeiten oder so. Wollte mir mit den alten ISDN Router eine DMZ aufbauen, für mein privates Heimnetz, da ich ihn noch so rumfliegen hatte. Ganz recht, mein richtiger Router der sich mit dem Internet vebindet ist eine Fritzbox. Naja trotzdem danke, werd ich wohl mal bei Ebay schauen was die so für günstige Router mit meheren Schnittstellen anbieten.
    Danke trotzdem.