ПРО "КИСКУ" 2511

Надо себя заставить. Без английского (технического, пусть со словарем) так и будешь по форумам ошиваться.

 

Пишешь access-list'ы

В доках популярно написано, как закрываются порты:

acces-list №листа протокол permit/deny ip-address mask(откуда) ip-address mask(куда) порт

Пример:

access-list 101 deny tcp 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255 eq 23

Можно вместо ip-address mask использовать запись типа host [ip-address] для указания одного конкретного адреса.

Также есть ключевое слово any, которое также можно использовать для определения подсетей. Для тебя это, похоже, то, что нужно, если у тебя цель - закрыть ВСЕМ telnet.

 

Господа профессионалы, а зачем закрывать порт телнета?
Что, можно снаружи достучаться до 23 порта? Я , конечно, книжку почитаю как конкретно это делается, сдается мне, Иван дело говорит про аксесс листы, но зачем же, действительно всем резать телнет? Ты ж не знаешь с какого IP к тебе полезет хакер...Вот если ты его уже вычислил, и хочешь отбиться от его нападок, то тогда да, но и то, если он - умный хакер - он просто сменит свой прокси на другой, не менее анонимный...
А файрволлы ИМХО лучше программные - их администрить много легче, чем с CISCO-й ковыряться...
Zombie, мой тебе совет - не знаешь что делать с такой ОЧЕНЬ дорогой аппаратурой(и кто только к ней тебя допустил?) - лучше не лезь! А английский учить надо было еще в институте, неужто наша родная кафедра иностранных языков ничему тебя не выучила? Но и сейчас заняться языком было бы неплохо по любому...

 

Залетный, правильно, нужно поставить deny всем, а permit только своей сетке, либо отдельному хосту, который может заходить телнетом. Точнее, в access-list'ах это нужно сделать наоборот, сперва разрешить себе, а потом запретить всем :D:.

 

Не, Ivan , а нахрена вообще огород городить с ЦИСКОй?

 

Тогда уж не телнетом, а SSH. Если, конечно, хочешь, чтобы побезопаснее.

С уважением, Я.

 

Zombie, возникнут еще вопросы - отпиши, открою тему. А пока...

 

Зомби, в Тех.книге продаются книги от Циски на русском языке. В т.ч. про настройку маршрутизаторов.

 

Гостю

Добавлю только для заинтересовавшихся - перевод там достаточно дебильный...хотите реально что-то знать - читайте оригиналы, а если хотца еще и экзамены сдать - то читайте CiscoPress в оригинале (хотя и там...промолчим...глючат они тоже, бывает).

 

Зомби тут сказал, что в английском не силен. Может с русским разберется.

 

Логично - книжка, она ж на все случаи жизни написана.
Зато в следующий раз, когда понадобится что-то прикрутить, можно будет не искать книжку вообще.
Это если объем памяти позволяет.
А так - если лениво читать, или лениво искать, то лучше денег заплатить тому, кто уже знает КАК.
Но что-то мы уже опять зациклились на этой теме

 

По первому пункту информации мало. Обычно на месте, когда есть логи, когда можно повторить ситуацию - это решается за полчаса - эа это нам и платят
А второй пункт - "читайте книжки, они рулез" (C) не помню чей.
Ключевые слова - либо DHCP, либо PPP IPCP, как удобней (ну или если PPP нет, а есть SLIP). Если эти слова в книжке не ищутся - меняй книжку.

Можно также сэкономить кучу денег на книжках, если зайти на www.cisco.com почитать IOS Command Reference, а потом посмотреть в разделе Configuration Cookbook, как это реализовано.

 

Зомби, противно уже смотреть на твою навязчивость в вопросах, задаваемых не в тех местах.

может быть уместо было бы посмотреть debug на то, почему происходят reject'ы?
debug aaa ...
debug ppp authentication

async-bootp dns-server 10.0.10.1 10.0.10.2

Только хакеры и {*****} книжек не читают. http://www.cisco.com/warp/public/793/access_dial/pppdialup.html - там все написано.

 

Во блин...с меня пиво - про bootp я-то и забыл!