The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]




Версия для распечатки Пред. тема | След. тема
Новые ответы [ Отслеживать ]
Помогите с ACL против Worm Blast., !*! Darsh, 05-Сен-03, 09:46  [смотреть все]
на интерфейссе пишу
access-list 101 deny tcp any any eq 4444 any
access-list 101 deny udp any any eq 69
access-list 101 deny tcp any any eq 135
access-list 101 deny tcp any any eq 139
access-list 101 deny tcp any any eq 445
access-list 101 deny udp any any eq 135
access-list 101 deny udp any any eq 139
access-list 101 deny udp any any eq 445
access-list 101 permit tcp any any
access-list 101 permit udp any any
и ничего. стоит повесить на интерфес in как пропадает пинг за пределы сетки
Где тут грабли?

  • Помогите с ACL против Worm Blast., !*! rpm, 09:58 , 05-Сен-03 (1)
    >на интерфейссе пишу
    >access-list 101 deny tcp any any eq 4444 any
    >access-list 101 deny udp any any eq 69
    >access-list 101 deny tcp any any eq 135
    >access-list 101 deny tcp any any eq 139
    >access-list 101 deny tcp any any eq 445
    >access-list 101 deny udp any any eq 135
    >access-list 101 deny udp any any eq 139
    >access-list 101 deny udp any any eq 445
    >access-list 101 permit tcp any any
    >access-list 101 permit udp any any
    >и ничего. стоит повесить на интерфес in как пропадает пинг за пределы
    >сетки
    >Где тут грабли?
    >
    +access-list 101 permit icmp any any

    • Помогите с ACL против Worm Blast., !*! Sonne, 12:30 , 05-Сен-03 (2)
      Вместо этого:

      >access-list 101 permit tcp any any
      >access-list 101 permit udp any any

      Нужно
      access-list 101 permit ip any any

      • Помогите с ACL против Worm Blast., !*! Ldar, 14:45 , 05-Сен-03 (3)
        >Вместо этого:
        >
        >>access-list 101 permit tcp any any
        >>access-list 101 permit udp any any
        >
        >Нужно
        >access-list 101 permit ip any any


        Если нужно разрешить только пинги то правильный вариант от rpm
        ибо правило permit ip any any разрешит ВСЕ

        • Помогите с ACL против Worm Blast., !*! LS, 01:26 , 10-Сен-03 (4)
          >>Вместо этого:
          >>
          >>>access-list 101 permit tcp any any
          >>>access-list 101 permit udp any any
          >>
          >>Нужно
          >>access-list 101 permit ip any any
          >
          >
          >Если нужно разрешить только пинги то правильный вариант от rpm
          >ибо правило permit ip any any разрешит ВСЕ

          1) если задается такой вопрос, то _правильный_ ответ дал Sonne. насколько я понимаю человек только начал разбираться, зачем ему создавать лишние трудности?

          2) если администратор не может заблокировать не нужный трафик, и надеется только на "умолчальное" deny any any - грошь ему цена. Ваша боязнь permit any any мне не понятна.


          • Помогите с ACL против Worm Blast., !*! Ldar, 12:50 , 19-Сен-03 (5)
            >>>Вместо этого:
            >>>
            >>>>access-list 101 permit tcp any any
            >>>>access-list 101 permit udp any any
            >>>
            >>>Нужно
            >>>access-list 101 permit ip any any
            >>
            >>
            >>Если нужно разрешить только пинги то правильный вариант от rpm
            >>ибо правило permit ip any any разрешит ВСЕ
            >
            >1) если задается такой вопрос, то _правильный_ ответ дал Sonne. насколько я
            >понимаю человек только начал разбираться, зачем ему создавать лишние трудности?
            >
            >2) если администратор не может заблокировать не нужный трафик, и надеется только
            >на "умолчальное" deny any any - грошь ему цена. Ваша боязнь
            >permit any any мне не понятна.

            Многоуважаемый LS !
            В конечном итоге, все разрешения на тот или иной трафик дает админ, исходя  из конкретных задачь перед ним ... ну плюс политика компании (личное мнение) Судя по вопросу от Darsh ему нужно было только пинговать соответственно и последовал ответ на icmp. Я считаю, что это более тончный  ответ ане "обобщающий" permit ip.
            а мое мнение собственное, что по умолчанию запрещено все, открыть нужно только то, что реально нужно для конкретных задачь.

            PS: сколько людей, столько мнений.

            • Помогите с ACL против Worm Blast., !*! LS, 01:24 , 24-Окт-03 (6)
              >>>>Вместо этого:
              >>>>
              >>>>>access-list 101 permit tcp any any
              >>>>>access-list 101 permit udp any any
              >>>>
              >>>>Нужно
              >>>>access-list 101 permit ip any any
              >>>
              >>>
              >>>Если нужно разрешить только пинги то правильный вариант от rpm
              >>>ибо правило permit ip any any разрешит ВСЕ
              >>
              >>1) если задается такой вопрос, то _правильный_ ответ дал Sonne. насколько я
              >>понимаю человек только начал разбираться, зачем ему создавать лишние трудности?
              >>


              >>2) если администратор не может заблокировать не нужный трафик, и надеется только
              >>на "умолчальное" deny any any - грошь ему цена. Ваша боязнь
              >>permit any any мне не понятна.
              >

              резковато сказал - каюсь

              >Многоуважаемый LS !
              >В конечном итоге, все разрешения на тот или иной трафик дает админ,
              >исходя  из конкретных задачь перед ним ... ну плюс политика
              >компании (личное мнение)

              абсолютно с Вами согласен, причем +политика компании - к личному мало отношения имеет :))

              Судя по вопросу от Darsh ему нужно было
              >только пинговать соответственно и последовал ответ на icmp. Я считаю, что
              >это более тончный  ответ ане "обобщающий" permit ip.

              судя по вопросу, человек не совсем себя уверенно чувствует (точнее не разбирается (может уже разобрался)) в acl => (по моему мнению), что Ваш совет попросту жестокая подстава или просто необдуманный ответ. Он acl не может написать, а Вы ему советуете весь трафик зарубить - за это ему начальство скажет БОЛЬШОЕ спасибо.

              я просто за свою практику не разу не встречал клиента, который бы брал доступ в инет и довольствовался только icmp протоколом. а исходя из вопроса - 99%, что это "канал во внешний мир"

              >а мое мнение собственное, что по умолчанию запрещено все, открыть нужно только
              >то, что реально нужно для конкретных задачь.
              >

              на 100% согласен

              >PS: сколько людей, столько мнений.


              опять же - согласен на 100%. я, хоть и запоздало, попытался объяснить, что я увидел в этом вопросе. может я и не прав, но "сколько людей, столько мнений" :)) - с этим не поспоришь




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру