закрыть порты на EDGE-CORE 4612

Решение проблем связванных с работой железа. Проблемы программно-аппаратной совместимости.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Essaul
рядовой
Сообщения: 48
Зарегистрирован: 2008-07-09 8:32:42

закрыть порты на EDGE-CORE 4612

Непрочитанное сообщение Essaul » 2012-01-27 20:20:30

Привет , помогите разобраться не могу закрыть порты 317 318 319 445 на данной железке что школота между подсетями шары не шарила

кусочек конфига
!
VLAN database
VLAN 1 name "DefaultVlan" media ethernet state active
VLAN 11 name "vlan11" media ethernet state active
VLAN 12 name "vlan12" media ethernet state active
VLAN 13 name "vlan13" media ethernet state active
VLAN 14 name "vlan14" media ethernet state active
VLAN 15 name "vlan15" media ethernet state active
VLAN 16 name "vlan16" media ethernet state active
VLAN 17 name "vlan17" media ethernet state active
VLAN 18 name "vlan18" media ethernet state active
VLAN 19 name "vlan19" media ethernet state active
VLAN 20 name "vlan20" media ethernet state active
VLAN 21 name "vlan21" media ethernet state active
!
!
!
!
!
!
spanning-tree MST-configuration
!
!
!
!
access-list IP extended "137"
deny UDP any any destination-port 137
deny UDP any any destination-port 138
deny UDP any any destination-port 139
deny UDP any any destination-port 445
!
!
!
!
!
!
interface ethernet 1/1
switchport allowed VLAN add 11 untagged
switchport native VLAN 11
switchport allowed VLAN remove 1
!
interface ethernet 1/2
---More--

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

GhOsT_MZ
лейтенант
Сообщения: 662
Зарегистрирован: 2011-04-25 11:40:35
Контактная информация:

Re: закрыть порты на EDGE-CORE 4612

Непрочитанное сообщение GhOsT_MZ » 2012-01-27 20:29:25

А к чему применяется список доступа? Если уж выкладывать все подряд из конфига, то уже полностью его выложить, или только ключевые места...

Essaul
рядовой
Сообщения: 48
Зарегистрирован: 2008-07-09 8:32:42

Re: закрыть порты на EDGE-CORE 4612

Непрочитанное сообщение Essaul » 2012-01-27 20:50:30

GhOsT_MZ писал(а):А к чему применяется список доступа? Если уж выкладывать все подряд из конфига, то уже полностью его выложить, или только ключевые места...

Vty-0#sh ru
building running-config, please wait.....
!
SNTP server 0.0.0.0 0.0.0.0 0.0.0.0
!
!
snmp-server community public ro
snmp-server community private rw
!
!
!
!
!
!
!
!
!
VLAN database
VLAN 1 name "DefaultVlan" media ethernet state active
VLAN 11 name "vlan11" media ethernet state active
VLAN 12 name "vlan12" media ethernet state active
VLAN 13 name "vlan13" media ethernet state active
VLAN 14 name "vlan14" media ethernet state active
VLAN 15 name "vlan15" media ethernet state active
VLAN 16 name "vlan16" media ethernet state active
VLAN 17 name "vlan17" media ethernet state active
VLAN 18 name "vlan18" media ethernet state active
VLAN 19 name "vlan19" media ethernet state active
VLAN 20 name "vlan20" media ethernet state active
VLAN 21 name "vlan21" media ethernet state active
!
!
!
!
!
!
spanning-tree MST-configuration
!
!
!
!
access-list IP extended "137"
deny UDP any any destination-port 137
deny UDP any any destination-port 138
deny UDP any any destination-port 139
deny UDP any any destination-port 445
!
!
!
!
!
!
interface ethernet 1/1
switchport allowed VLAN add 11 untagged
switchport native VLAN 11
switchport allowed VLAN remove 1
!
interface ethernet 1/2
switchport allowed VLAN add 12 untagged
switchport native VLAN 12
switchport allowed VLAN remove 1
!
interface ethernet 1/3
switchport allowed VLAN add 13 untagged
switchport native VLAN 13
switchport allowed VLAN remove 1
!
interface ethernet 1/4
switchport allowed VLAN add 14 untagged
switchport native VLAN 14
switchport allowed VLAN remove 1
!
interface ethernet 1/5
switchport allowed VLAN add 15 untagged
switchport native VLAN 15
switchport allowed VLAN remove 1
!
interface ethernet 1/6
switchport allowed VLAN add 16 untagged
switchport native VLAN 16
switchport allowed VLAN remove 1
!
interface ethernet 1/7
switchport allowed VLAN add 17 untagged
switchport native VLAN 17
switchport allowed VLAN remove 1
!
interface ethernet 1/8
switchport allowed VLAN add 18 untagged
switchport native VLAN 18
switchport allowed VLAN remove 1
!
interface ethernet 1/9
switchport allowed VLAN add 19 untagged
switchport native VLAN 19
switchport allowed VLAN remove 1
!
interface ethernet 1/10
switchport allowed VLAN add 20 untagged
switchport native VLAN 20
switchport allowed VLAN remove 1
!
interface ethernet 1/11
switchport allowed VLAN add 21 untagged
switchport native VLAN 21
switchport allowed VLAN remove 1
!
interface ethernet 1/12
switchport allowed VLAN add 1 untagged
switchport native VLAN 1
!
!
!
interface VLAN 1
IP address 10.10.10.10 255.255.255.0
!
interface VLAN 11
IP address 192.168.11.254 255.255.255.0
IP DHCP relay server 10.10.10.7
!
interface VLAN 12
IP address 192.168.12.254 255.255.255.0
IP address 192.168.25.254 255.255.255.0 secondary
IP DHCP relay server 10.10.10.7
!
interface VLAN 13
IP address 192.168.13.254 255.255.255.0
IP DHCP relay server 10.10.10.7
!
interface VLAN 14
IP address 192.168.14.254 255.255.255.0
IP DHCP relay server 10.10.10.7
!
interface VLAN 15
IP address 192.168.15.254 255.255.255.0
IP DHCP relay server 10.10.10.7
!
interface VLAN 16
IP address 192.168.16.254 255.255.255.0
IP DHCP relay server 10.10.10.7
!
interface VLAN 17
IP address 192.168.17.254 255.255.255.0
IP DHCP relay server 10.10.10.7
!
interface VLAN 18
IP address 192.168.18.254 255.255.255.0
IP address 192.168.22.254 255.255.255.0 secondary
IP DHCP relay server 10.10.10.7
!
interface VLAN 19
IP address 192.168.19.254 255.255.255.0
IP address 192.168.23.254 255.255.255.0 secondary
IP DHCP relay server 10.10.10.7
!
interface VLAN 20
IP address 192.168.20.254 255.255.255.0
IP DHCP relay server 10.10.10.7
!
interface VLAN 21
IP address 192.168.21.254 255.255.255.0
IP DHCP relay server 10.10.10.7
!
!
!
!
!
!
!
!
!
!
!
!
!
!
IP route 0.0.0.0 0.0.0.0 10.10.10.5 metric 1
!
!
!
!
!
!
!
no map IP precedence
no map IP DSCP
!
!
!
!
!
!
!
!
!
!
line console
speed auto
!
!
line VTY
!
!
!
end
!
Vty-0#
вот все ключевые , вырезал тока доступ

Essaul
рядовой
Сообщения: 48
Зарегистрирован: 2008-07-09 8:32:42

Re: закрыть порты на EDGE-CORE 4612

Непрочитанное сообщение Essaul » 2012-01-28 8:46:01

GhOsT_MZ писал(а):А к чему применяется список доступа? Если уж выкладывать все подряд из конфига, то уже полностью его выложить, или только ключевые места...

!
!
access-list IP extended "137"
deny UDP 192.168.0.0 255.255.0.0 192.168.11.0 255.255.255.0 destination-port 137
deny UDP 192.168.0.0 255.255.0.0 192.168.11.0 255.255.255.0 destination-port 138
deny UDP 192.168.0.0 255.255.0.0 192.168.11.0 255.255.255.0 destination-port 139
deny UDP 192.168.0.0 255.255.0.0 192.168.11.0 255.255.255.0 destination-port 445
немножко переделал , так наверно правильнее будет , такой асес лист запрещает пакеты из подсети 192.168.0.0/16 в подсеть 192.168.11.0/24 если порт получателя равен 137 138 139 и 445 , не ошибся я ?

но не могу понять как этот ACL повесить на нужный порт , помогите