Subnets.ru

**root** » 20 мар 2009, 13:54

Андрей писал(а):А не подскажите, как на CISCO запретить хождение трафика по 445 порту.

Код: Выделить всё: conf t ip access-list extended 2000 deny tcp any any eq 445

Андрей писал(а):я так понимаю если это коммутатор, то запрещать хождение надо на самом интерфейсе?

да хоть маршрутизатор
запрещать нуна на IP-интерфейсе, а физический это интерфейс или vlan не важно, там где трафик и ходит там и вешаешь

**Андрей** » 20 мар 2009, 14:06

тогда не менее глупый вопрос:
получается что в коде

Код: Выделить всё
conf t ip access-list extended 2000 deny tcp any any eq 445

any any это и есть сети по которым гулять нельзя трафику?

**root** » 20 мар 2009, 14:12

ты спрашивал:

Андрей писал(а):как на CISCO запретить хождение трафика по 445 порту.

а не "как сети Х запретить трафик к сети Y по 445"

я и написал access list который запрещает всем ходить по 445-му порту
any - любой IP адрес

**Андрей** » 20 мар 2009, 14:25

понял. спасибо.

**Андрей** » 20 мар 2009, 15:18

сделал так:

Код: Выделить всё: conf t ip access-list extended 2000 deny tcp any any eq 445 ip access-list extended 2001 deny tcp any any eq 137 ip access-list extended 2000 deny tcp any any eq 138 ...

в итоге получил

Код: Выделить всё: telnet@BigIron Router#wri term Current configuration: ... ip access-list extended 2000 deny tcp any any eq 445 ! ip access-list extended 2001 deny tcp any any eq 135 ! ip access-list extended 2002 deny tcp any any eq 136 ! ip access-list extended 2003 deny tcp any any eq 137 ! ip access-list extended 2004 deny tcp any any eq 138 ! ip access-list extended 2005 deny tcp any any eq 139 ! ip access-list extended 2006 deny tcp any any eq 1900 ...

думаю, что не сильно огород нагородил?
Можно ли было в 1 ACL сделать запись нескольких портов?

**Андрей** » 20 мар 2009, 15:41

ответ нашелся сам собой. оказалось, что можно.
Теперь буду следить и ждать отзывы.

**root** » 22 мар 2009, 12:23

Андрей писал(а):ответ нашелся сам собой. оказалось, что можно.

гуд, ессно очевидно что да, т.к. на интерфейсе можно вешать всего два access-list`а на IN и на OUT
в cisco в одном access-list`е правила нумеруются sequence (порядковым) номером
один access-list может содержать много правил

**Андрей** » 19 июн 2009, 08:27

Приветствую всех.
Не стал создавать новую тему, т.к. сеть проблемы котносится к сабжу.
Проблема, собственно вот в чем.
На виндовой машине установил у себя agnitum outpost firewall (не сочтите за рекламу). Он мне постоянно шлет сообщения, что удаленный адрес 192.168.0.1 атакует 1900 UDP порт на моей машине. Мой ip 10.10.10.99/16. Еще сказано, что локальный адрес того самого 192.168.0.1 239.255.255.250 и его порт 1900.
Смотрел таблицу маков, таблицу маршрутизации, пробовал с freebsd машины отследить по tcpdump что может слать на 1900 порт, но везде пусто. У В связи с эти вопросы:
Как в сети 10.10/16 может завестись ip 239.255.255.250 и 192.168.0.1 ?
можно ли запретить адреса 192.168.0.1 и 239.255.255.250 средствами настройки свитча, не используя при этом mac адреса?
Порт 1900 я зарезал средствами свитча - не помогло.

Код: Выделить всё: conf t ip access-list extended 2000 deny udp any any eq 1900

Спасибо за ответы.

**root** » 19 июн 2009, 11:06

239.255.255.250 это мультикаст адрес

IPv4 address space

http://subnets.ru/wrapper.php?p=34 писал(а):239.255.255.250 - SSDP, Simple Service Discovery Protocol.

**Андрей** » 19 июн 2009, 11:57

получается мне с мультикаста лезет? :shock:

остается тогда его зарезать.

Subnets.ru

Черви.

Re: Черви.

Re: Черви.

Re: Черви.

Re: Черви.

Re: Черви.

Re: Черви.

Re: Черви.

Re: Черви.

Re: Черви.

Re: Черви.

Кто сейчас на конференции