|
|
Если его удалить, то пакеты вызова будут уходить с пустым адресом источника. Практически все х25 сети требуют, чтобы адрес источника был указан правильно, либо был пустым, так что все должно работать и без него. 3.6>Q: Ура! Трансляция заработала. Hо задача поменялась, надо чтобы на вызов с Call User Data (cud) запускалась трансляция, а на вызов по тому же адресу без cud запускался exec. >A: Пропишите этот адрес через x25 routing x25 route alias Serial =========================================================== 4. ACL =========================================================== 4.1>Q: Рекомендации по access-list s для защиты от атак из интернета. Некоторые рекомендации и соображения. aaa.bbb.ccc.ddd, naa.nbb.ncc.ndd - соответственно свои сеть и маска. wba.wbb.wbc.wbd - wildcard bits Внимание !!! в access-list используется не netmask, а wildcard bits. Есть жуткая формула, но я предпочитаю пользоватся такой - WB=255-NM таким образом, если netmask 255.255.255.0 в access-list пишется 0.0.0.255 ! deny all RFC1597 & default no access-list 101 access-list 101 deny ip host 0.0.0.0 any access-list 101 deny ip 10.0.0.0 0.255.255.255 any access-list 101 deny ip 127.0.0.0 0.255.255.255 any access-list 101 deny ip 172.16.0.0 0.15.255.255 any access-list 101 deny ip 192.168.0.0 0.0.255.255 any ! deny ip spoofing access-list 101 deny ip aaa.bbb.ccc.ddd wba.wbb.wbc.wbd any ! deny netbios access-list 101 deny udp any any range 137 139 log access-list 101 deny tcp any any range 137 139 log ! deny Back-Orifice access-list 101 deny udp any any eq 31337 log ! deny telnet access-list 101 deny tcp any any eq telnet log ! deny unix r-commands and printer, NFS, X11, syslog. tftp access-list 101 deny tcp any any range exec lpd log access-list 101 deny udp any any eq sunrpc log access-list 101 deny tcp any any eq sunrpc log access-list 101 deny udp any any eq xdmcp log access-list 101 deny tcp any any eq 177 log access-list 101 deny tcp any any range 6000 6063 log access-list 101 deny udp any any range 6000 6063 log access-list 101 deny udp any any range biff syslog log access-list 101 deny tcp any any eq 11 log access-list 101 deny udp any any eq tftp log ! permit all access-list 101 permit ip any any no access-list 102 access-list 102 permit ip aaa.bbb.ccc.ddd wba.wbb.wbc.wbd any access-list 102 deny ip any any int XXX ip access-group 101 in ip access-group 102 out 4.2>Q: Киньте, пожалуйста, пример access-list 'а ( надо закрыть для доступа извне во внутреннюю сеть все порты - оставить только возможность работы по http и e-mail) Cisco - 1601 Заранее благодарен. >A: (Alex Bakhtin) Итак. Есть две стратегии по установке аксесс-листов: 1. Закрыть все опасное, открыть все остальное. 2. Открыть все нужное, закрыть все остальное. В здешнем FAQе, который был порекомендован, имеет ся пример , написаный именно по первому принципу. Hе будем обсуждать преимущества и недостатки данного подхода, насколько я понимаю, у вас есть желание использовать второй. Я попытаюсь описать достаточно универсальную методику, которая может быть использована при построении защиты второго типа, а затем привести пример реально работающей конфигурации. Сразу хочу сказать, что все ниженаписаное - это чисто мое IMHO. Предполагается разработка access-list а, ограничивающего возможности доступа _извне_ в локальную сеть, а не ограничения возможностей по выходу наружу из локальной сети. Итак. Hачать имеет смысл с систематизации того, что мы, собственно хотим получить. Для этого предлагаю выстроить следующую таблицу: ! ! ! ! ! !www !mail!ftp!binkd!и так далее - здесь перечиляем сервисы ! ! ! ! !доступ к которым мы хотим предоставить ! ! ! ! !пользователям "извне" ------------!----!----!---!-----!---------------------------------------- www.qq.ru ! X ! ! ! ! relay.qq.ru ! ! X ! ! ! ftp.qq.ru ! ! ! X ! ! any ! ! ! ! X ! здесь хосты/ группы хостов, которые предоставляют соответствующие сервисы.
|