форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Маршрутизаторы CISCO и др. оборудование. (ACL, фильтрация и ограничение трафика)
Изначальное сообщение		[ Отслеживать ]

"как закрыть 53ий порт на внешнем интерфейсе?"	+/–
Сообщение от disia (ok) on 05-Сен-10, 02:17
конфиг: version 12.4 no service pad service timestamps debug datetime msec service timestamps log datetime msec service password-encryption ! hostname loacal ! boot-start-marker boot-end-marker ! ! aaa new-model ! ! ! ! aaa session-id common ! ! dot11 syslog ! dot11 ssid wifi    vlan 1    authentication open    authentication key-management wpa    guest-mode    wpa-psk ascii 7 key ! no ip dhcp use vrf connected ip dhcp excluded-address 10.0.0.254 ip dhcp ping packets 5 ! ip dhcp pool local    import all    network 10.0.0.0 255.255.255.0    default-router 10.0.0.254    dns-server 10.0.0.254    domain-name domain.ru ! ip dhcp pool local.123    host 10.0.0.1 255.255.255.0    client-identifier 123    client-name local.123    lease infinite ! ip dhcp pool local.234    host 10.0.0.2 255.255.255.0    client-identifier 234    client-name local.234    lease infinite ! ip dhcp pool local.345    host 10.0.0.3 255.255.255.0    client-identifier 345    client-name local.345    lease infinite ! ip dhcp pool local.456    host 10.0.0.4 255.255.255.0    client-identifier 456    client-name local.456    lease infinite ! ! ip cef ip domain name domain.ru ip host 345.domain.ru 10.0.0.3 ip host 123.domain.ru 10.0.0.1 ip host 456.domain.ru 10.0.0.4 ip host cisco.domain.ru 10.0.0.254 ! ! ! username user privilege 15 password 7 pass ! ! archive log config   hidekeys ! ! ip ssh authentication-retries 2 ip ssh version 1 ! bridge irb ! ! interface FastEthernet0 ! interface FastEthernet1 ! interface FastEthernet2 ! interface FastEthernet3 ! interface FastEthernet4 no ip address ip virtual-reassembly no ip mroute-cache duplex auto speed auto pppoe enable group global pppoe-client dial-pool-number 1 no keepalive no cdp enable ! interface Dot11Radio0 no ip address ! encryption vlan 1 mode ciphers tkip ! ssid disia ! speed basic-1.0 basic-2.0 basic-5.5 6.0 9.0 basic-11.0 12.0 18.0 24.0 36.0 48.0 54.0 channel 2437 station-role root bridge-group 1 bridge-group 1 subscriber-loop-control bridge-group 1 spanning-disabled bridge-group 1 block-unknown-source no bridge-group 1 source-learning no bridge-group 1 unicast-flooding ! interface Dot11Radio0.1 encapsulation dot1Q 1 native bridge-group 1 bridge-group 1 subscriber-loop-control bridge-group 1 spanning-disabled bridge-group 1 block-unknown-source no bridge-group 1 source-learning no bridge-group 1 unicast-flooding ! interface Vlan1 no ip address bridge-group 1 ! interface Dialer1 ip address negotiated ip mtu 1492 ip nat outside ip virtual-reassembly encapsulation ppp no ip mroute-cache dialer pool 1 dialer-group 1 no cdp enable ppp authentication chap callin ppp chap hostname login ppp chap password 7 pass ppp ipcp dns request ! interface BVI1 ip address 10.0.0.254 255.255.255.0 ip nat inside ip virtual-reassembly ip tcp adjust-mss 1452 ! ip forward-protocol nd ip route 0.0.0.0 0.0.0.0 Dialer1 ! no ip http server no ip http secure-server ip dns server ip nat inside source list 100 interface Dialer1 overload ip nat inside source static tcp 10.0.0.3 30541 interface Dialer1 30541 ! access-list 100 deny tcp any eq domain any access-list 100 permit ip 10.0.0.0 0.0.0.255 any dialer-list 1 protocol ip permit ! control-plane ! bridge 1 protocol ieee bridge 1 route ip ! line con 0 no modem enable line aux 0 line vty 0 4 exec-timeout 60 0 privilege level 15 logging synchronous transport input ssh ! scheduler max-task-time 5000 sntp server 62.117.76.142 end порт 53ий на внешку все ранво открыт, когда добавляю на интерфейс Dialer1: ip access-group 100 in интернет вырубется за натом...как с таким конфигом закрыть днс на внешнем интерфесе и при это сохранить трансляцию 30541 во внутрь?
Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "как закрыть 53ий порт на внешнем интерфейсе?"	+/–
Сообщение от Николай (??) on 06-Сен-10, 11:30
Мухи отдельно котлеты отдельно. Запросы на мир по 53 потру должны идти инече не будет резолва и отвалиться запросы по ДНС именам (а ты их рубишь) На твоей конфигурации 53 порт на ружу не выставлен (проверить просто - стукнись nslookup телнет на свой внешний ИП)
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	2. "как закрыть 53ий порт на внешнем интерфейсе?"	+/–
	Сообщение от disia (ok) on 06-Сен-10, 14:40
	>Мухи отдельно котлеты отдельно. Запросы на мир по 53 потру должны идти >инече не будет резолва и отвалиться запросы по ДНС именам (а >ты их рубишь) На твоей конфигурации 53 порт на ружу не >выставлен (проверить просто - стукнись nslookup телнет на свой внешний ИП) > инет отваливается не оптому что нет днс резолва, пинги гаснут..в том числе по ип..проверял, если бы небыл извне доступен 53ий порт..я бы не спрашивал, в том то и дело, что доступен
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	3. "как закрыть 53ий порт на внешнем интерфейсе?"	+/–
	Сообщение от lumenous (ok) on 06-Сен-10, 14:47
	>>Мухи отдельно котлеты отдельно. Запросы на мир по 53 потру должны идти >>инече не будет резолва и отвалиться запросы по ДНС именам (а >>ты их рубишь) На твоей конфигурации 53 порт на ружу не >>выставлен (проверить просто - стукнись nslookup телнет на свой внешний ИП) >> > >инет отваливается не оптому что нет днс резолва, пинги гаснут..в том числе >по ип..проверял, если бы небыл извне доступен 53ий порт..я бы не >спрашивал, в том то и дело, что доступен Сделайте отдельно - один ACL для настроек Ната, второй для фильтрации. Так логичнее и проще в администрировании. Ко всему прочему, если не изменяет память DNS работает по UDP, а у вас в правиле жестко TCP.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	4. "как закрыть 53ий порт на внешнем интерфейсе?"	+/–
	Сообщение от disia (ok) on 07-Сен-10, 11:04
	>[оверквотинг удален] >> >>инет отваливается не оптому что нет днс резолва, пинги гаснут..в том числе >>по ип..проверял, если бы небыл извне доступен 53ий порт..я бы не >>спрашивал, в том то и дело, что доступен > >Сделайте отдельно - один ACL для настроек Ната, второй для фильтрации. Так >логичнее и проще в администрировании. > >Ко всему прочему, если не изменяет память DNS работает по UDP, а >у вас в правиле жестко TCP. подскажите что конкретно должно быть в обоих acl в этом случае, чтобы работал нат, чтобы работал нас сорс статик и снаружи был закрыт 53ий порт, и куда привязать и как acl для фильтрации..я так понял привязать acl к нату, это непосредственно: ip nat inside source list 100 interface Dialer1 overload
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	5. "как закрыть 53ий порт на внешнем интерфейсе?"	+/–
	Сообщение от disia (ok) on 19-Сен-10, 14:24
	up
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	6. "как закрыть 53ий порт на внешнем интерфейсе?"	+/–
	Сообщение от sh_ (ok) on 19-Сен-10, 16:52
	2lumenous Как ни странно, он и по tcp работает. ;) Ну там зоны всякие обновляются и прочая фигня... Для ната достаточно access-list 100 permit ip 10.0.0.0 0.0.0.255 any А для внешнего интерфейса нужен ваш сотый ACL, только с последней записью permit any any
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	7. "как закрыть 53ий порт на внешнем интерфейсе?"	+/–
	Сообщение от blank (ok) on 20-Сен-10, 08:46
	>инет отваливается не оптому что нет днс резолва, пинги гаснут..в том числе >по ип.. все логично, вы же разрешаете только трафик из 10.х.х.х сети на внешнем интерфейсе. можно посмотреть в сторону ip inspect. или, как и сказали, отдельным ACL.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема