Søg
Avatar billede bibsen2 Nybegynder
16. maj 2003 - 20:03 Der er 5 kommentarer og
1 løsning

Få Cisco/IOS ACL til at (silent) droppe pakker

Hej..
Jeg har i min Cisco router (IOS) nogle ACL'er til ingående traffik.
Problemet er at når man portscanner den (udefra) med NMAP så får man "Filtered" på alle de porte som min ACL Deny'er...  jeg ville meget hellere ha at NMAP slet ikke kunne se at de svarede på de pågældende porte.

Kan man gøre et eller andet smart ??

(jeg har overvejet bare at lukke for udgående ICMP, da den vel sender en ICMP msg. tilbage om at
porten er filtreret... men jeg ville nu altså stadig gerne kunne pinge box'en osv..)


Mvh.
Brian Ibsen
Avatar billede svindler Nybegynder
17. maj 2003 - 00:33 #1
Du kan lave følgende access-liste som udgående på dit "outside"-interface:
access-list 100 permit icmp any any echo
access-list 100 permit icmp any any echo-reply
access-list 100 deny icmp any any
access-list 100 permit ip any any (eller hvad du nu har i forvejen).

Det tillader dig at pinge og blive pinget, og du vil stadig kunne få den håndfuld icmp-typer, der har værdi.
Avatar billede bibsen2 Nybegynder
17. maj 2003 - 01:30 #2
Tja..  den var jo den måde jeg også havde tænkt mig at gøre det..
Meeen det kunne jo være der var en anden måde...
Avatar billede bibsen2 Nybegynder
17. maj 2003 - 03:31 #3
Hmm..  faktisk kan jeg ikke få den til at filtrere udgående ICMP

har lavet:
access-list 115 deny icmp any any log
access-list 115 permit ip any any


Umiddelbart ville jeg tro at jeg skulle sætte det på mit dialer interface så jeg lavede
"(config-if)#ip access-group 115 out"

Dette gav ikke noget resultat så jeg prøvede at sætte det på mit ATM interface..  og der virker heller ikke
Såe.. hvor skal det egentlig sættes ??


(Det er muligt det er mig som er ved at være seriøst træt nu)
Avatar billede svindler Nybegynder
19. maj 2003 - 12:02 #4
Hmm, efter at have checket lidt nærmere tror jeg at icmp unreachable pakkerne går udenom access lister, på samme måde, som du heller ikke kan styre arp pakker.
Prøv at skrive
"no ip unreachables"
på dit interface.
Jeg er ikke sikker på, hvilken hardware og IOS det virker på og jeg er heller ikke helt sikker på, om det skal på dit dialer interface eller dit atm-interface. Jeg vil skyde på, at det skal på dialer-interfacet, da atm-interfacet formodentlig ikke betragter pakken helt oppe på ip niveau.
Avatar billede bibsen2 Nybegynder
20. maj 2003 - 04:19 #5
hmm, nu har jeg prøvet at sætte "no ip unreachables" både på dialer og atm interface.
Og jeg får desværre stadig "filtered" ved NMAP scan.
Så den er åbenbart total ligeglad med at jeg har bedt den om ikke at sende unreachables....

Øv... Det /burde/ da kunne lave gøre..
Avatar billede svindler Nybegynder
20. maj 2003 - 09:26 #6
Har du prøvet at sniffe på din nmap maskine, for at se, om det forandrer de icmp-pakker, du modtager?
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Se alle it-kurser fra Computerworld Kurser
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.
Se alle it-kurser

Flere spørgsmål fra Routere & Switches kategorien

Titel Indlæg Oprettet Seneste aktivitet
Proxy router/server Af joki i Routere & Switches 2 19/03/202616:52 25/03/202615:54
Icotera vs Nokia fiberboks Af Uvanga i Routere & Switches 2 19/03/202611:04 25/03/202613:58
Wifi 7 Af skolevej321 i Routere & Switches 3 11/11/202511:06 14/11/202507:57
Fiberby i ny lejlighed - hvordan? Af Josvto i Routere & Switches 7 04/11/202511:20 05/11/202511:51
Mobilrouter mangler forbindelse i Sverige Af perhol i Routere & Switches 5 21/09/202515:09 18/04/202609:02
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester

Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
I går 13:02 Lille smart tingest Af nu_igen i Fitness & Smartwatches
03/0500:59 Mobilepay app virker ikke mere på Xiaomi Redmi Note 13 Pro Af henrixx i Apps til Android
02/0519:09 Download Win 11 - 25H2 Af ErikHg i Windows
30/0410:42 Access Import af csv fil - forkerte datatyper Af Henrik Berg Hansen i Andet software
29/0419:37 Hente CSV fil, indsætte CSV data i TABEL for JAVASCRIPT Af snestrup2000 i Programmeringsværktøjer
White papers
Flere white papers »