ACL (access liste)

Den ser rigtig ud, pånær de 3 any\'er kun skal være 2.
Er det trafik ud af huset, du forsøger at begrænse? Det vil nok også være en god idé at kigge på at begrænse trafikken indad!
F.eks.
access-list 102 permit tcp any eq 80 any gt 1023
Husk at skrive \"gt 1023\" da en hacker ellers kan ramme \"forbudte\" porte ved at sætte port 80 som source port i sit hackerforsøg.
En anden ting kan også være at sikre at du kun kommer ud med regulære source-adresser, hvis nogen hos dig forsøger at \"spoofe\" adresser. Dette gøres f.eks ved at skrive:
access-list 101 permit tcp 193.1.1.0 0.0.0.255 any eq 80
hvis du havde c-klassen 193.1.1.x.

Tyg evt http://www.cisco.com/warp/public/707/21.html og http://www.cisco.com/public/cons/isp/documents/IOSEssentialsPDF.zip igennem, hvis du vil have mere information.

det er kun trafik indad  (linjen er nemlig mæt)

Hvis du vil begrænse den trafik, der kommer fra din isp, er du nødt til at få lagt et filter på isp\'ens router (og det vil de formodentlig ikke tillade)! Når det først kommer til din router har det jo passeret den mætte linie.

I tilfældet her vil du så være interesseret i at få svarene retur. I så tilfælde skal access-listen \"vendes om\":
access-list 102 permit tcp any eq 80 193.1.1.0 0.0.0.255 gt 1023
access-list 102 permit tcp any eq 25 193.1.1.0 0.0.0.255 gt 1023
access-list 102 permit udp any eq 53 193.1.1.0 0.0.0.255 gt 1023 (i nogle dns implementationer kan det være nødvendigt at fjerne gt 1023, med den sikkerhedsrisiko, det giver)
access-list 102 deny any any

Du kan dog stadig bruge din foreslåede access-liste for udgående. Hvis svarene på det, er det eneste du er interesseret i, kan du ligeså godt udelukke andet trafik FRA dit netværk.

Du kan iøvrigt overveje, om du bør tillade icmp i et vist omfang, så ping og andre ting vil fungere.

Dette kan f.eks. gøres ved at tilføje den udgående linie:
access-list 101 permit icmp 193.1.1.0 0.0.0.255 any echo
og indgåendde:
access-list 102 permit icmp any 193.1.1.0 0.0.0.255 echo-reply
access-list 102 permit icmp any 193.1.1.0 0.0.0.255 packet-too-big
access-list 102 permit icmp any 193.1.1.0 0.0.0.255 ttl-exceeded

jeg fandt lige en ekstra artikel, du kan læse: http://www.insecure.org/news/P55-10.txt

Du kan også overveje at opgradere til firewall-feature-settet. Det kan åbne dynamisk efterhånden som de udgående pakker kræver retur-svar.

Har du nogen servere stående, som skal kunne nås fra internettet? Så skal der også tilføjes permits for det.

tak for dine svar, jeg giver point på mandag, da jeg lige skal på arbejde igen

hvad betyder gt 1023

Greater Than 1023. Normalt vil en klient åbne en port fra 1024 og opefter til at modtage svarene fra serveren. Hvis du ikke sætter \"gt 1023\" på, kan en hacker checke om du har netbios eller andet kørende ved at sætte sin source-port til 80.
Der vil dog stadig være ting, som hackerne kan checke med dette filter, f.eks. om du har NetOp, Terminal-server, Citrix, X-Windows og meget andet.
Dette kan firewall-featuresettet minimere, fordi den ændrer filteret dynamisk.