یه مشکل کوچک

Printable View

2007-05-24, 09:02 PM
ccna

یه مشکل کوچک

با سلام آقا من می خوام با هیچ اسکنری سرورام scan نشوند ...ممنونم اینم کانفیگ

[code]access-list 115 remark For GroupAsync0
access-list 115 remark ------
access-list 115 remark Deny for Icmp-----
access-list 115 deny icmp any any echo log
access-list 115 deny icmp any any echo-reply log
access-list 115 remark ----------
access-list 115 remark Deny for worms...
access-list 115 deny udp any any eq tftp log
access-list 115 deny tcp any any eq sunrpc log
access-list 115 deny tcp any any eq 111 log
access-list 115 deny udp any any eq 111 log
access-list 115 deny tcp any any eq 135 log
access-list 115 deny tcp any any range 135 139 log
access-list 115 deny udp any any range 135 netbios-ss log
access-list 115 deny udp any any eq 135 log
access-list 115 deny udp any any eq 1433 log
access-list 115 deny udp any any eq 1434 log
access-list 115 deny udp any any eq 1444 log
access-list 115 deny tcp any any eq 137 log
access-list 115 deny udp any any eq netbios-ns log
access-list 115 deny tcp any any eq 138 log
access-list 115 deny udp any any eq netbios-dgm log
access-list 115 deny tcp any any eq 139 log
access-list 115 deny udp any any eq netbios-ss log
access-list 115 deny tcp any any eq 445 log
access-list 115 deny tcp any any eq 593 log
access-list 115 deny tcp any any eq 4444 log
access-list 115 remark ----
access-list 115 remark Permits for AMC DNS Servers:
access-list 115 permit tcp any host 217.219.10.x eq domain
access-list 115 permit udp any host 217.219.10.x eq domain
access-list 115 permit tcp any host 217.219.10.x eq domain
access-list 115 permit udp any host 217.219.10.x eq domain

access-list 115 remark -------------
access-list 115 permit ip any any[/code]

و در آخر

interface Group-Async0

ip access-group 115 in
2007-05-24, 10:14 PM
ccna

به جای access-list 115 permit ip any any
این را گذاشتم اما بازم حل نشد access-list 115 permit ip 172.16.10.0 255.255.255.255 any
access-list 115 permit ip any 172.16.10.0 255.255.255.255
2007-05-24, 10:37 PM
shabake_karan

[RIGHT]دوست ، برای scan کردن روش های بسیار مختلفی وجود دارد. یک نرم افزاری مثل nmap اینقدر روش های مختلف اسکن دارد که به این راحتی قابل بستن است. برای اینکه سرور شما کاملا درامان باشد حتما باید از سیستم IDS/IPS حالا بصورت Host و یا network استفاده کنی و خوب چون که شما تک سرور داری host based خیلی مفید تر است.
[/RIGHT]
2007-05-25, 09:50 AM
ccna

اگر میشود بگید با چی کل icpm کاملا ببندم..

از طریق access-list بر روی interface Group-Async0
2007-05-25, 12:16 PM
aka

ICMP خیلی msg داره :
[LIST][*]0 - [URL="http://en.wikipedia.org/wiki/ICMP_Echo_Reply"]Echo Reply[/URL][*]1 - Reserved[*]2 - Reserved[*]3 - [URL="http://en.wikipedia.org/wiki/ICMP_Destination_Unreachable"]Destination Unreachable[/URL][*]4 - [URL="http://en.wikipedia.org/wiki/ICMP_Source_Quench"]Source Quench[/URL][*]5 - [URL="http://en.wikipedia.org/wiki/ICMP_Redirect_Message"]Redirect Message[/URL][*]6 - Alternate Host Address[*]7 - Reserved[*]8 - [URL="http://en.wikipedia.org/wiki/ICMP_Echo_Request"]Echo Request[/URL][*]9 - Router Advertisement[*]10 - Router Solicitation[*]11 - [URL="http://en.wikipedia.org/wiki/ICMP_Time_Exceeded"]Time Exceeded[/URL][*]12 - Parameter Problem[*]13 - [URL="http://en.wikipedia.org/wiki/ICMP_Timestamp"]Timestamp[/URL][*]14 - [URL="http://en.wikipedia.org/wiki/ICMP_Timestamp_Reply"]Timestamp Reply[/URL][*]15 - Information Request[*]16 - Information Reply[*]17 - [URL="http://en.wikipedia.org/wiki/ICMP_Address_Mask_Request"]Address Mask Request[/URL][*]18 - [URL="http://en.wikipedia.org/wiki/ICMP_Address_Mask_Reply"]Address Mask Reply[/URL][*]19 - Reserved for security[*]20-29 - Reserved for robustness experiment[*]30 - Traceroute[*]31 - Datagram Conversion Error[*]32 - Mobile Host Redirect[*]33 - [URL="http://en.wikipedia.org/wiki/IPv6"]IPv6[/URL] [URL="http://en.wikipedia.org/wiki/Where-Are-You"]Where-Are-You[/URL][*]34 - [URL="http://en.wikipedia.org/wiki/IPv6"]IPv6[/URL] [URL="http://en.wikipedia.org/wiki/Here-I-Am"]Here-I-Am[/URL][*]35 - Mobile Registration Request[*]36 - Mobile Registration Reply[*]37 - Domain Name Request[*]38 - Domain Name Reply[*]39 - SKIP Algorithm Discovery Protocol, [URL="http://en.wikipedia.org/wiki/Simple_Key-Management_for_Internet_Protocol"]Simple_Key-Management_for_Internet_Protocol[/URL][*]40 - [URL="http://en.wikipedia.org/wiki/Photuris_%28protocol%29"]Photuris[/URL], Security failures[*]41 - ICMP for experimental mobility protocols such as [URL="http://en.wikipedia.org/wiki/Seamoby"]Seamoby[/URL] [RFC4065][*]42-255 - Reserved
به غیر اینها SNMP و ... دیگه رو هم بایستی که ببندی
البته اگه ICMP رو ببندی همه اینهارو بستی در واقع[/LIST]
2007-05-25, 05:12 PM
ccna

aka جان می شود یک مدل کانفیگ بزاری برای diul up که ICPM بسته بشه ....
2007-05-25, 10:32 PM
aka

شما کلا ICMP رو deny کنی کل اینارو بستی ولی داستان اینه که فقط با ICMP که ردتو نمیزنن ، یوتیلیتی برای این قرتی بازیا زیاده خیلی هاشون رو snmp کار میکنه که پیشنهادم اینه که SNMP رو سرش یه acl بزاری