Subnets.ru

Андрей писал(а):А не подскажите, как на CISCO запретить хождение трафика по 445 порту.

Код: Выделить всё

conf t
ip access-list extended 2000
deny tcp any any eq 445

Андрей писал(а):я так понимаю если это коммутатор, то запрещать хождение надо на самом интерфейсе?

да хоть маршрутизатор
запрещать нуна на IP-интерфейсе, а физический это интерфейс или vlan не важно, там где трафик и ходит там и вешаешь

тогда не менее глупый вопрос:
получается что в коде

Код: Выделить всё

conf t
ip access-list extended 2000
deny tcp any any eq 445

any any это и есть сети по которым гулять нельзя трафику?

ты спрашивал:

Андрей писал(а):как на CISCO запретить хождение трафика по 445 порту.

а не "как сети Х запретить трафик к сети Y по 445"

я и написал access list который запрещает всем ходить по 445-му порту
any - любой IP адрес

понял. спасибо.

сделал так:

Код: Выделить всё

conf t
ip access-list extended 2000
deny tcp any any eq 445
ip access-list extended 2001
deny tcp any any eq 137
ip access-list extended 2000
deny tcp any any eq 138
...

в итоге получил

Код: Выделить всё

telnet@BigIron Router#wri term
Current configuration:
...
ip access-list extended 2000
 deny tcp any any eq 445
!
ip access-list extended 2001
 deny tcp any any eq 135
!
ip access-list extended 2002
 deny tcp any any eq 136
!
ip access-list extended 2003
 deny tcp any any eq 137
!
ip access-list extended 2004
 deny tcp any any eq 138
!
ip access-list extended 2005
 deny tcp any any eq 139
!
ip access-list extended 2006
 deny tcp any any eq 1900
...


думаю, что не сильно огород нагородил?
Можно ли было в 1 ACL сделать запись нескольких портов?

ответ нашелся сам собой. оказалось, что можно.
Теперь буду следить и ждать отзывы.

Андрей писал(а):ответ нашелся сам собой. оказалось, что можно.

гуд, ессно очевидно что да, т.к. на интерфейсе можно вешать всего два access-list`а на IN и на OUT
в cisco в одном access-list`е правила нумеруются sequence (порядковым) номером
один access-list может содержать много правил

Приветствую всех.
Не стал создавать новую тему, т.к. сеть проблемы котносится к сабжу.
Проблема, собственно вот в чем.
На виндовой машине установил у себя agnitum outpost firewall (не сочтите за рекламу). Он мне постоянно шлет сообщения, что удаленный адрес 192.168.0.1 атакует 1900 UDP порт на моей машине. Мой ip 10.10.10.99/16. Еще сказано, что локальный адрес того самого 192.168.0.1 239.255.255.250 и его порт 1900.
Смотрел таблицу маков, таблицу маршрутизации, пробовал с freebsd машины отследить по tcpdump что может слать на 1900 порт, но везде пусто. У В связи с эти вопросы:
Как в сети 10.10/16 может завестись ip 239.255.255.250 и 192.168.0.1 ?
можно ли запретить адреса 192.168.0.1 и 239.255.255.250 средствами настройки свитча, не используя при этом mac адреса?
Порт 1900 я зарезал средствами свитча - не помогло.

Код: Выделить всё

conf t
ip access-list extended 2000
deny udp any any eq 1900

Спасибо за ответы.

239.255.255.250 это мультикаст адрес

IPv4 address space

http://subnets.ru/wrapper.php?p=34 писал(а):239.255.255.250 - SSDP, Simple Service Discovery Protocol.

получается мне с мультикаста лезет?
остается тогда его зарезать.