-
بستن پورت ويروسها
يوزر هاي ويروسي Send زيادي رو به شبكه ميفرستن.كه با قطع كردن اون يوزر خاص همه چيز به حالت نرمال بر ميگرده. البته 3-4 روز بيشتر نيست كه اين مورد پيش اومده.. (حتما يه ويروس يا ورم جديدي داره رشد ميكنه!! )
حالا من فكر كردم كه شايد بشه با بستن پورت هاي تابلو! تا حدي جلوي اين مشكل رو گرفت.. اين ليست رو پيدا كردم..
[LEFT]interface FastEthernet0/0
ip access-group 112 in
ip access-group 112 out
access-list 112 deny icmp any any echo
access-list 112 deny icmp any any echo-reply
access-list 112 deny icmp any any time-exceeded
access-list 112 permit icmp any any packet-too-big
access-list 112 deny icmp any any host-unreachable
access-list 112 deny tcp any any eq 445
access-list 112 deny tcp any any eq 6669
access-list 112 deny tcp any any eq 2222
access-list 112 deny tcp any any eq 7000
access-list 112 deny tcp any any eq 16959
access-list 112 deny tcp any any eq 27374
access-list 112 deny tcp any any eq 6711
access-list 112 deny tcp any any eq 6712
access-list 112 deny tcp any any eq 6776
access-list 112 deny tcp any any eq 16660
access-list 112 deny tcp any any eq 65000
access-list 112 deny tcp any any eq 27665
access-list 112 deny tcp any any eq 33270
access-list 112 deny tcp any any eq 39168
access-list 112 deny tcp any any eq 26300
access-list 112 deny tcp any any eq 1433
access-list 112 deny tcp any any eq 135
access-list 112 deny tcp any any eq 139
access-list 112 deny tcp any any eq 593
access-list 112 deny tcp any any eq 4444
access-list 112 deny udp any any eq 1434
access-list 112 deny udp any any eq 31335
access-list 112 deny udp any any eq 27444
access-list 112 deny udp any any eq 135
access-list 112 deny udp any any eq netbios-ns
access-list 112 deny udp any any eq netbios-dgm
access-list 112 deny udp any any eq netbios-ss
access-list 112 deny udp any any eq 5000
access-list 112 deny udp any any eq tftp
access-list 112 permit ip any any[/LEFT]
البته اين ليست روي LAN اعمال شده كه من ميخوام رو Dialup ها اعمال بشه ( Group-async )
در حال حاضر جز بستن ICMP ، هيچ Access list ديگه اي روي روتر فعال نيست.
آيا مشكل با اين ليست حل ميشه؟ همه اين پورت ها رو بايد بست؟ اساتيد اگر لطف كنن و اين ليست رو يه مقدار بهينه سازي كنن خيلي خوب ميشه!
اين ليست تا چه حد بار روي روتر رو بالا ميبره؟
اگه يه ليست اصولي اينجا بذارين كه ديگه خيلي خيلي خوب ميشه ;)
ممنون از توجه شما.
-
امير جون
من واقعا لذت مي برم كه همچين دوستان فعالي دارم. دمت گرم
ولي
اينو بدون كه هر ACL يه بار روي سي پي يو روتر مي ياره. هرچي بيشتر بار بيشتر
پس سعي كنيد تا از درستي مشكل روي پورت آگاه نشديد و 100% اطمينان كسب نكرديد ائن پورت رو حذف نكنيد. چون عملا رو پايدار روترتون هم تاثير نامطلوب مي زاره
تمام پورت هاي مشكل دار اينها هستن و بقيه اضافي نوشته شدن
TCP range 135 138
TCP 4444
TCP 1434
TCP 445
tcp 593 كه يادت رفته بود بنويسي
UDP 1434
UDP Range 995 999
حالا اگه دوست داشتيد NETbios رو هم ببنديد
در مورد IP Access-Group فقط روي اينترفيس خروجي اعمال كنيد . چون هر چي بيشتر رو اينترفيس ها بزاريد بار بيشتري رو دستگاه مياره
خوب امير جون يه سوال
ميشه خودت هم اين همه پورتي كه گفتي بايد بسته بشه رو تحليل كني و بگي به چه دليلي بايد بسته بشه و كدوم ورم يا ويروس از اين نقطه ضعف استفاده مي كنه
بعضي از اين همه پورت عملا هيچ استفاده اي ازشون نميشه.
-
[QUOTE=aryagohar]در مورد IP Access-Group فقط روي اينترفيس خروجي اعمال كنيد . چون هر چي بيشتر رو اينترفيس ها بزاريد بار بيشتري رو دستگاه مياره
خوب امير جون يه سوال
ميشه خودت هم اين همه پورتي كه گفتي بايد بسته بشه رو تحليل كني و بگي به چه دليلي بايد بسته بشه و كدوم ورم يا ويروس از اين نقطه ضعف استفاده مي كنه
بعضي از اين همه پورت عملا هيچ استفاده اي ازشون نميشه.[/QUOTE]
منم كه اومدم ديدم يه جواب كامل و اصولي اينجاست ، خيلي لذت بردم :rolleyes: رضا به سلامت باد!
راستش همونطور كه گفتم اين ليست رو ، از اين ور اون ور! هر چي بود جمع كردم يجا نوشتم ، كه شما نظر بدين كدوما حذف شه و كدوم اضافه شه. و فقط نقل قول بوده. (من چه كاره بيدم؟ ;) )
در مورد IP access-group كه گفتين روي اينترفيس خروجي اعمال شه. من فقط روي (Group-async (Dial-up اين خط رو گذاشتم: IP Access-Group 112 IN
-
اين ليستي يه كه من استفاده ميكنم و مشكل من رو كه حل كرد ...
گفتم اينجا بنويسم كه اين Thread نتيجه اش معلوم باشه!
Powered By Aryagohar ;)
[LEFT]
Extended IP access list 100
deny icmp any any echo
deny icmp any any echo-reply
deny tcp any any eq 135
deny tcp any any eq 136
deny tcp any any eq 137
deny tcp any any eq 138
deny tcp any any eq 4444
deny tcp any any eq 1434
deny tcp any any eq 445
deny tcp any any eq 593
deny udp any any eq 1434
deny udp any any eq 995
deny udp any any eq 996
deny udp any any eq 997
deny udp any any eq 998
deny udp any any eq 999
deny udp any any eq netbios-ns
deny udp any any eq netbios-dgm
deny udp any any eq netbios-ss
permit ip any any[/LEFT]
-
آقا اين ليست كامل تر نشده؟
-
سلام
نخواستم يه Thread جديد باز كنم!!
يه درخواست جديد!! :rolleyes:
ميخوام دسترسي به چندتا از IP هاي وليد شبكه رو از بيرون كاملا ببندم . ( توسط Access-list )
يكيش سرور Accounting هست. كه نيازي هم به اينترنت نداره و ميشه كاملا درشو از بيرون تخته كرد (از S0/0 )
اون يكي كش سرور ، كه احتياج به كانكت شدن به پورت 80 وب سرور ها داره ، اما نميخوام هيچ IP از بيرون بتونه به اين كانكت شه. بيرون كه ميگم منظورم اينترفيس سريال روتره.
access-list 130 deny ip any host accounting
access-list 130 deny tcp any host cacheserver eq 80
آيا اين ليست درسته؟ چه مشكلاتي رو ايجاد ميكنه؟ درستش چيه !؟ :blush:
[URL=http://www.mtiweb.com/isp/ciscoacc.html]اين[/URL] هم جالبه!..
-
كجتيي يه مدت پيدات نيس امير خان؟
فكر كنم واسه اين كارا نت كني بهتره تا از وليد آي پي استفاده كني
ميتوني اين سرورهاتو از رنج دايل آپت بگيري
اينجوري امنيت كاربرا و همينطور خودت ميره بالا
ولي يه نكته
امنيتشو تكميل كني بهتره
مثلا كاربرت كارتش كار نميكنه
ميخواد ببينه چرا
بعد اگه از كارتاي تو گير نياره
ميخوره تو ذوقش
فكر ميكنه شبكه تو خرابه
-
راستي بستن اينا از روي روتر بهتره يا از يه فايروال مثل ISA يا ..؟
-
رپا گير ندي بگي چندتا چندتا پست ميزنيا
من هرچي گشتم يه مطلب نقل ورم نيلچيا بود كه پينگهاي بيش از 4 كيلو رو ميبستيم، پيدا نكردم
ميشه دوباره دستورشو بنويسين
-
علي جون خواهش دوستانه.
1 همه پست هات رو يه دفعه بزن اينجوري بهتري
2 امضا خودت رو كم كن. فكر كنم همه متوجه شدن. خواهشا.
-
من هم با اجازه يه خواهش کنم: اگر مطلبی رو هم بعدا ميخوای اضافه کنی و در ادامه پست قبلی است و هنوز کسی زير مطلب قبلی ات مطلبی اضافه نکرده، مطلب قبلی ات رو Edit کن و نوشته جديد رو زيرش بنويس تا نيازی به ارسال مجدد نباشه.
-
رضا جون، من كه گفتم گير نده
والا ما اينجا خط انترنت خيلي بيريخته، تا بخواد داخلي آزاد بشه، بعد شماره بگيره در بهترين حالت با خط E1 ، سرعت 24 كيلو كانكت ميشه، به همين خاطر اگه بخوام صفحه EDIT رو باز كنم يا Advanced پست بزنم 2 ساعت طول ميكشه كه صفحه بياد بالا، به همين خاطر جدا مجبور ميشم بزنم، مثلا دفعه پيش رضا جون ديدي كه دوباره كه پشت سر هم پست زدم بعد قيلي ها رو پاك كردم، درك كنين تورو خدا
بعد آخه اينا هر كدوم يه مطلب جداگونه هست، شماها هم ماشااله سرتون شلوغه اولي رو ميخونين، بقيه اش رو يادتون ميره، مثلا الان رضا يه پست زد نقل امضا و پستهاي من، محمد جون و خود رضا اصلا يادشون رفت كه سوال جواب بدن، منم ديدم بهتره جدا جدا بزنم كه جدا جدا بخونينش
بعد امضا هم چشم، ولي من اگه تولاني بود آخه هيچ وقت پستام اونقدر نميشد كه امضا بخواد پستم رو طولاني تر كنه، كه نظم صفحه به هم بخوره، وگرنه اصلا نميزدمش
بعدشم، بابا منم دوستانه ميگما، يهو نگي علي بهش برخورد، مشكل نه از من نيست، اخه خيلي سخته آدم بدون لحن بنويسه، بعد هركي يه جور ميخونتش، بعد غوغا...
ما مخلص همه برو بچ اينجا هم هستيم، كه هرچي ياد گرفتيم از شماها ياد گرفتيم.
حالا جواب منو ميشه بدين؟
-
[QUOTE=MCP]سلام
نخواستم يه Thread جديد باز كنم!!
يه درخواست جديد!! :rolleyes:
ميخوام دسترسي به چندتا از IP هاي وليد شبكه رو از بيرون كاملا ببندم . ( توسط Access-list )
يكيش سرور Accounting هست. كه نيازي هم به اينترنت نداره و ميشه كاملا درشو از بيرون تخته كرد (از S0/0 )
اون يكي كش سرور ، كه احتياج به كانكت شدن به پورت 80 وب سرور ها داره ، اما نميخوام هيچ IP از بيرون بتونه به اين كانكت شه. بيرون كه ميگم منظورم اينترفيس سريال روتره.
access-list 130 deny ip any host accounting
access-list 130 deny tcp any host cacheserver eq 80
آيا اين ليست درسته؟ چه مشكلاتي رو ايجاد ميكنه؟ درستش چيه !؟ :blush:
[URL=http://www.mtiweb.com/isp/ciscoacc.html]اين[/URL] هم جالبه!..[/QUOTE]
سلام
ببخشيد وسط بحث پست دادم !! :D
با راهنمايي دوست بسيار گرامي SDSL جان! قضيه حل شد و گفتم بنويسم تا امثال خودم استفاده كنن.
[LEFT]Access-list 130 deny ip any host accounting
Access-list 130 deny tcp any host cacheserver eq 3128[/LEFT]
كه در ورودي سريال روتر اعمال شدن. پورت 3128 هم مختص CacheXpress هست.
بازم از صادق خان تشكر ميكنم. :)
-
[QUOTE=nkm]رپا گير ندي بگي چندتا چندتا پست ميزنيا
من هرچي گشتم يه مطلب نقل ورم نيلچيا بود كه پينگهاي بيش از 4 كيلو رو ميبستيم، پيدا نكردم
ميشه دوباره دستورشو بنويسين[/QUOTE]
آقا خدمت شما :
[left]
ip access-list extended Ping_Platform
permit icmp any any echo
permit icmp any any echo-reply
!
!
route-map Block_Big_Ping_Packets permit 10
match ip address Ping_Platform
match length 92 2147483647
set interface Null0
!
!
interface Serial0/0
ip route-cache policy
ip policy route-map Block_Big_Ping_Packets
[/left]
-
Update!! ;)
[LEFT]
Extended IP access list 120
deny tcp any any eq 135
deny tcp any any eq 136
deny tcp any any eq 137
deny tcp any any eq 138
deny tcp any any eq 4444
deny tcp any any eq 1434
deny tcp any any eq 1433
deny tcp any any eq 445
deny tcp any any eq 593
deny tcp any any eq 9898
deny tcp any any eq 5554
deny udp any any eq 1434
deny udp any any eq 1433
deny udp any any eq 995
deny udp any any eq 996
deny udp any any eq 997
deny udp any any eq 998
deny udp any any eq 999
deny udp any any eq netbios-ns
deny udp any any eq netbios-dgm
deny udp any any eq netbios-ss
deny icmp any any echo
deny icmp any any echo-reply
permit ip any any[/LEFT]