მოგესალმებით მინდა მოკლედ დავწერო მინიმალურ დონეზე როგორც დავიცვათ და როუტერი ინტერნერისგან
და როგორც შევამოწმოთ თუ რა ხდებაოდა პერიმეტრულ როუტერზე
პირველი რიგში ინტეტნერის მხარეს რომელი ინტერფეისიც არის იმ ინტერფეისის შემომავალი (in) ტრაფიკისთვის უნდა დავწეროთ access-list-ი , ყველამ გაკრგად ვიცი pirvate მისამართები რომელიც აღწერილია RFC1918-ში ინტერნეტში არ როუტდება და მხოლოდ გამოიყენება შიდა ქსელებისთვის. ამიტსომ ეს მისამართების უნდა დავლოკოთ აუცლებლად .
10.0.0.0/8 , 172.16.0.0/12, 192.168.0.0/16
როგორც წესი პროვაიდერი გვაძლევს 1 ქსელს ან რამდენიმე ქსელის ამ ქსელების Network ID და
Network Broadcast-ები უნდა დაიბლოკოს:
მაგალიდან პროვაიდერმა მოგვცა ორი ქსელი: 213.157.196.0/27 და 213.157.196.32/30
213.157.196.32/30 პროვაიდერთან მისაერთებლად და 213.157.196.0/27 ვთქვათ DMZ-სთვის
213.157.196.32/30 Net ID 213.157.196.32 და Net Broadcast 213.157.196.35 ხოლო
213.157.196.0/27 Net ID 213.157.196.0 და Net Broadcast 213.157.196.65
ამ შემთხვევაში უნდა დაიბლოკოს ყველა ქსელის Net ID და Broadcast.
213.157,196.0, 213.157.196.31, 213.157.196.32, 213.157.196.65
კიდევ აუცილებლად უნდა დაიბლოკოს loopback ქსელი
127.0.0.0/8
mulicast მისამართების უნდა დაიბლოკოს ინტერნეტიდან იმ გამონაკლისის გარდა როცა რაიმე პროკოლოლი მუშაობს ინტერნეთის მხარეს და იყენებს mulicast მისამართებს მაგლიდად HSRP. ასევე უნდა დაიბლოკოს network broadcast-ი 255.255.255.255, ICMP redicrect-ი trace-ი და ყველა ქსელი 0.0.0.0-ზე ერთროული მომართვა.
224.0.0.0-239.255.255.255, 0.0.0.0, 255.255.255.255 traceroute და ICMP Redirect
გამოგვივიდა შემდეგი access-listი
ip access-list extended from_internet
deny ip 10.0.0.0 0.255.255.255 any log
deny ip 172.16.0.0 0.15.255.255 any log
deny ip 192.168.0.0 0.0.255.255 any log
deny ip any host 213.157.196.0 log
deny ip any host 213.157.196.31 log
deny ip any host 213.157.196.32log
deny ip any host 213.157.196.65log
deny ip 127.0.0.0 0.255.255.255 any log
deny ip 224.0.0.0 15.255.255.255 any log
deny ip host 0.0.0.0 any log
deny ip host 255.255.255.255 any log
deny udp any any range 33400 34400 log
deny icmp any any redirect log
ლოგირება შეგვიძლია მიუწეროთ შეგვიძლია არა და როგორც ჩვენ გვინდა ისე გამოვიყენებთ
show access-list from_internet –ამ ბრძანებით შეგვიძლია ვნახოთ counter-ები ანუ რამდენჯერ დაემთვა რომელიმე access-list-ის ჩანაწერს
დიდი მადლობა ყურადღებისთვის
თუ დეტალურად დაგაინტერესებთ დაწერეთ და რითაც შევძლებ დაგეხმარებით
Filter by APML
Subscribe