Kategorie: Access Lists, Stateful Inspection
Konfiguration von Access Listen und Filtern
Wie konfiguriert man erfolgreich eine Access Liste?
Übersicht
[1] Wie konfiguriert man erfolgreich eine Access Liste, Szenario
Wie konfiguriert man erfolgreich eine Access Liste
Eine Gefahr besteht darin, daß man sich selbst aus dem System aussperrt. Wenn Sie die Access Liste nach der folgenden Beschreibung einrichten, sollte man keine Probleme haben.
Im ersten Schritt werden die Access Rules für alle Interfaces deaktiviert. Stellen Sie über Telnet oder ein anderes Terminal Programm eine Verbindung zum BinTec Router her, gehen Sie im Setup Tool in das Untermenü IP und dort in Access Lists. Wählen Sie den Punkt Interfaces aus.
Im ersten Schritt werden die Access Rules für alle Interfaces deaktiviert. Stellen Sie über Telnet oder ein anderes Terminal Programm eine Verbindung zum BinTec Router her, gehen Sie im Setup Tool in das Untermenü IP und dort in Access Lists. Wählen Sie den Punkt Interfaces aus.
X1200 II Setup Tool BinTec Access Networks GmbH
[SECURITY][ACCESS]: IP Access Lists x1200_II
_______________________________________________________________________________
Filter
Rules
Interfaces
EXIT
_______________________________________________________________________________
Press <Ctrl-n>, <Ctrl-p> to scroll through menu items, <Return> to enter
[SECURITY][ACCESS]: IP Access Lists x1200_II
_______________________________________________________________________________
Filter
Rules
Interfaces
EXIT
_______________________________________________________________________________
Press <Ctrl-n>, <Ctrl-p> to scroll through menu items, <Return> to enter
Nachdem Sie den Menüpunkt Interfaces ausgewählt haben, deaktivieren Sie die Access Lists für alle Interfaces. Das können Sie mit der Einstellung "First Rule" auf " none" bewerkstelligen. Bitte verlassen Sie das Menü mit "SAVE". Das hat die Wirkung, daß zu dem jetzigen Zeitpunkt kein Filter aktiv ist. Somit können Sie die Konfiguration in Ruhe vornehmen, ohne sich selbst auszusperren.
X1200 II Setup Tool BinTec Access Networks GmbH
[SECURITY][ACCESS][INTERFACES]: Configure First Rules x1200_II
_______________________________________________________________________________
Configure first rules for interfaces
Interface First Rule First Filter
en1-0 0 (no access rules)
en1-0-snap 0 (no access rules)
en3-0 0 (no access rules)
en3-0-snap 0 (no access rules)
EXIT
_______________________________________________________________________________
Press <Ctrl-n>, <Ctrl-p> to scroll, <Return> to select/edit
[SECURITY][ACCESS][INTERFACES]: Configure First Rules x1200_II
_______________________________________________________________________________
Configure first rules for interfaces
Interface First Rule First Filter
en1-0 0 (no access rules)
en1-0-snap 0 (no access rules)
en3-0 0 (no access rules)
en3-0-snap 0 (no access rules)
EXIT
_______________________________________________________________________________
Press <Ctrl-n>, <Ctrl-p> to scroll, <Return> to select/edit
X1200 II Setup Tool BinTec Access Networks GmbH
[SECURITY][ACCESS][INTERFACES][EDIT] x1200_II
_______________________________________________________________________________
Interface en1-0
First Rule none
Deny Silent no
Reporting Method info
SAVE CANCEL
_______________________________________________________________________________
Use <Space> to select
[SECURITY][ACCESS][INTERFACES][EDIT] x1200_II
_______________________________________________________________________________
Interface en1-0
First Rule none
Deny Silent no
Reporting Method info
SAVE CANCEL
_______________________________________________________________________________
Use <Space> to select
Szenario
Gehen wir einmal von einer Windows Umgebung aus. Der BinTec Router wird eingesetzt, um damit in das Internet zu gehen. Nach kurzer Zeit stellt man fest, daß der BinTec Router unnötigerweise Verbindungen aufbaut. Ein Grund kann sein, daß der BinTec Router einen unerwünschten DNS Request von einem PC im Netzwerk bekommt und weiterleitet ins Internet. Ein DNS Request ist eine Anfrage beim Internet Service Provider (ISP), zu einem bestimmten Rechnernamen die dazugehörige IP Adresse zu finden. Angenommen der ISP kann die DNS Anfrage nicht auflösen, ist die Verbindung unnötig und kostet Geld. Um das zu unterbinden, müssen wir Filter einrichten.