|
|
 | access-list og BGP
Fra : Bjarke Andersen |
Dato : 20-02-07 11:22 |
|
Skal blocke telnet og ssh fra internettet og har derfor lavet følgende
access-list som skal påføres interfacet tilsluttet internettet:
access-list 101 deny tcp any eq telnet any log
access-list 101 deny tcp any eq 22 any log
access-list 101 permit ip any any
Men hvad med BGP? Hvordan tillader jeg dette, eller er jeg heldig den
indgår under ip?
--
Bjarke Andersen
| |
 Asbjorn Hojmark (20-02-2007)
| Kommentar
Fra : Asbjorn Hojmark |
Dato : 20-02-07 13:36 |
|
On 20 Feb 2007 10:21:37 GMT, Bjarke Andersen
<bjarke.andersen@gmail.com> wrote:
> Men hvad med BGP? Hvordan tillader jeg dette, eller er jeg heldig den
> indgår under ip?
Ja, BGP kører på 179/tcp.
-A
--
Hvis bruger et anti-spam program, der spammer os andre i hvert
eneste indlæg, ser jeg ikke dine indlæg. Jeg filtrerer dem bort.
| |
Asbjorn Hojmark (20-02-2007)
| Kommentar
Fra : Asbjorn Hojmark |
Dato : 20-02-07 13:39 |
|
On 20 Feb 2007 10:21:37 GMT, Bjarke Andersen
<bjarke.andersen@gmail.com> wrote:
> Skal blocke telnet og ssh fra internettet og har derfor lavet
> følgende access-list som skal påføres interfacet tilsluttet
> internettet:
>
> access-list 101 deny tcp any eq telnet any log
> access-list 101 deny tcp any eq 22 any log
> access-list 101 permit ip any any
Det er forkert. Hvis du vil lukke for alt telnet og ssh fra Internet
ind i dit net, skal du lave det som:
access-list 101 deny tcp any any eq telnet
access-list 101 deny tcp any any eq 22
access-list 101 permit ip any any
.... og så lægge det på som 'in' på dit Internet-interface. (Det er fra
hvad som helst (i Internet) til hvad som helst (hos dig), men kun som
telnet eller ssh).
(Nej, det er ikke tilfældigt, at jeg har fjernet "log". Der er ingen
særlig god grund til at logge det).
-A
--
Hvis bruger et anti-spam program, der spammer os andre i hvert
eneste indlæg, ser jeg ikke dine indlæg. Jeg filtrerer dem bort.
| |
Bjarke Andersen (20-02-2007)
| Kommentar
Fra : Bjarke Andersen |
Dato : 20-02-07 14:14 |
|
Asbjorn Hojmark <Asbjorn@Hojmark.ORG> crashed Echelon writing
news:1qqlt2tb8q5rg13fa4a9rivjd3igs6u3d3@hojmark.net:
> access-list 101 deny tcp any any eq telnet
> access-list 101 deny tcp any any eq 22
> access-list 101 permit ip any any
Hvad er forkellen på at angive destionation først og den jeg lavede?
--
Bjarke Andersen
| |
 Asbjorn Hojmark (20-02-2007)
| Kommentar
Fra : Asbjorn Hojmark |
Dato : 20-02-07 14:19 |
|
On 20 Feb 2007 13:13:55 GMT, Bjarke Andersen
<bjarke.andersen@gmail.com> wrote:
>> access-list 101 deny tcp any any eq telnet
>> access-list 101 deny tcp any any eq 22
>> access-list 101 permit ip any any
> Hvad er forkellen på at angive destionation først og den jeg lavede?
Den du lavede var med *source*-port telnet og ssh, så den ville i
praksis lukke for telnet og ssh indefra dit net og ud til Internet
(fordi svaret ikke ville kunne komme retur). Ovenstående gør det
modsatte.
-A
--
Hvis bruger et anti-spam program, der spammer os andre i hvert
eneste indlæg, ser jeg ikke dine indlæg. Jeg filtrerer dem bort.
| |
|
|