/ Forside / Teknologi / Netværk / TCP/IP / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
TCP/IP
#NavnPoint
Per.Frede.. 4668
BjarneD 4017
severino 2804
pallebhan.. 1680
EXTERMINA.. 1525
xou 1455
strarup 1430
Manse9933 1419
o.v.n. 1400
10  Fijala 1204
access-list og BGP
Fra : Bjarke Andersen


Dato : 20-02-07 11:22

Skal blocke telnet og ssh fra internettet og har derfor lavet følgende
access-list som skal påføres interfacet tilsluttet internettet:

access-list 101 deny tcp any eq telnet any log
access-list 101 deny tcp any eq 22 any log
access-list 101 permit ip any any

Men hvad med BGP? Hvordan tillader jeg dette, eller er jeg heldig den
indgår under ip?

--
Bjarke Andersen

 
 
Asbjorn Hojmark (20-02-2007)
Kommentar
Fra : Asbjorn Hojmark


Dato : 20-02-07 13:36

On 20 Feb 2007 10:21:37 GMT, Bjarke Andersen
<bjarke.andersen@gmail.com> wrote:

> Men hvad med BGP? Hvordan tillader jeg dette, eller er jeg heldig den
> indgår under ip?

Ja, BGP kører på 179/tcp.

-A
--
Hvis bruger et anti-spam program, der spammer os andre i hvert
eneste indlæg, ser jeg ikke dine indlæg. Jeg filtrerer dem bort.

Asbjorn Hojmark (20-02-2007)
Kommentar
Fra : Asbjorn Hojmark


Dato : 20-02-07 13:39

On 20 Feb 2007 10:21:37 GMT, Bjarke Andersen
<bjarke.andersen@gmail.com> wrote:

> Skal blocke telnet og ssh fra internettet og har derfor lavet
> følgende access-list som skal påføres interfacet tilsluttet
> internettet:
>
> access-list 101 deny tcp any eq telnet any log
> access-list 101 deny tcp any eq 22 any log
> access-list 101 permit ip any any

Det er forkert. Hvis du vil lukke for alt telnet og ssh fra Internet
ind i dit net, skal du lave det som:

access-list 101 deny tcp any any eq telnet
access-list 101 deny tcp any any eq 22
access-list 101 permit ip any any

.... og så lægge det på som 'in' på dit Internet-interface. (Det er fra
hvad som helst (i Internet) til hvad som helst (hos dig), men kun som
telnet eller ssh).

(Nej, det er ikke tilfældigt, at jeg har fjernet "log". Der er ingen
særlig god grund til at logge det).

-A
--
Hvis bruger et anti-spam program, der spammer os andre i hvert
eneste indlæg, ser jeg ikke dine indlæg. Jeg filtrerer dem bort.

Bjarke Andersen (20-02-2007)
Kommentar
Fra : Bjarke Andersen


Dato : 20-02-07 14:14

Asbjorn Hojmark <Asbjorn@Hojmark.ORG> crashed Echelon writing
news:1qqlt2tb8q5rg13fa4a9rivjd3igs6u3d3@hojmark.net:

> access-list 101 deny tcp any any eq telnet
> access-list 101 deny tcp any any eq 22
> access-list 101 permit ip any any

Hvad er forkellen på at angive destionation først og den jeg lavede?

--
Bjarke Andersen

Asbjorn Hojmark (20-02-2007)
Kommentar
Fra : Asbjorn Hojmark


Dato : 20-02-07 14:19

On 20 Feb 2007 13:13:55 GMT, Bjarke Andersen
<bjarke.andersen@gmail.com> wrote:

>> access-list 101 deny tcp any any eq telnet
>> access-list 101 deny tcp any any eq 22
>> access-list 101 permit ip any any

> Hvad er forkellen på at angive destionation først og den jeg lavede?

Den du lavede var med *source*-port telnet og ssh, så den ville i
praksis lukke for telnet og ssh indefra dit net og ud til Internet
(fordi svaret ikke ville kunne komme retur). Ovenstående gør det
modsatte.

-A
--
Hvis bruger et anti-spam program, der spammer os andre i hvert
eneste indlæg, ser jeg ikke dine indlæg. Jeg filtrerer dem bort.

Søg
Reklame
Statistik
Spørgsmål : 177558
Tips : 31968
Nyheder : 719565
Indlæg : 6408925
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste