Настроил себе роутер , благодаря помощи отзывчивых людей из форума, организовал пул (пока 8 модемов), но тут внезапно появилась проблема: потенциальные хакеры. С английским небольшие заморочки, половину читаю, половину догадываюсь. ПРОБЛЕМА Надо закрыть некоторые порты, в частности 23. И вообще хочу использовать её в качестве "огненной стены".
Надо себя заставить. Без английского (технического, пусть со словарем) так и будешь по форумам ошиваться.
Пишешь access-list'ы В доках популярно написано, как закрываются порты: acces-list №листа протокол permit/deny ip-address mask(откуда) ip-address mask(куда) порт Пример: access-list 101 deny tcp 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255 eq 23 Можно вместо ip-address mask использовать запись типа host [ip-address] для указания одного конкретного адреса. Также есть ключевое слово any, которое также можно использовать для определения подсетей. Для тебя это, похоже, то, что нужно, если у тебя цель - закрыть ВСЕМ telnet.
Господа профессионалы, а зачем закрывать порт телнета? Что, можно снаружи достучаться до 23 порта? Я , конечно, книжку почитаю как конкретно это делается, сдается мне, Иван дело говорит про аксесс листы, но зачем же, действительно всем резать телнет? Ты ж не знаешь с какого IP к тебе полезет хакер...Вот если ты его уже вычислил, и хочешь отбиться от его нападок, то тогда да, но и то, если он - умный хакер - он просто сменит свой прокси на другой, не менее анонимный... А файрволлы ИМХО лучше программные - их администрить много легче, чем с CISCO-й ковыряться... Zombie, мой тебе совет - не знаешь что делать с такой ОЧЕНЬ дорогой аппаратурой(и кто только к ней тебя допустил?) - лучше не лезь! А английский учить надо было еще в институте, неужто наша родная кафедра иностранных языков ничему тебя не выучила? Но и сейчас заняться языком было бы неплохо по любому...
Залетный, правильно, нужно поставить deny всем, а permit только своей сетке, либо отдельному хосту, который может заходить телнетом. Точнее, в access-list'ах это нужно сделать наоборот, сперва разрешить себе, а потом запретить всем :D:.
1. Зато я знаю с какого адреса он НЕ полезет 2. Аппаратные роутеры быстрее работают, для этого их и делают 3. Советы типа - не лезь - воспринимаю как личное оскорбление, моя квалификация позволяет разбираться с подобной аппаратурой (Кстати, в институтах к этому тоже НЕ всех допускают, обучение проходит чисто теоретически, курсы CISCO достаточно дорогие, вот и приходится самому) 4. Английский 2 раза в неделю - для галочки 5. Внимательно читай название темы, в ней не было даже намека на обсуждение моих профессиональных навыков
1.Возможна ли маршрутизация между Ethernet и Async? Или только между s0,s1? Что то не получается. Строка ip route сеть маска интерфейс (ethernet) почему то не прокатывает. Роутинг к циске на стороне шлюза прописан, ETHERNET циски виден. Сама циска видит обе сети, но маршрут не работает. клиенты видят сеть при условии что им назначаются адреса из диапазона входящих в неё адресов. 2. Как указать подключающимся клиентам адрес DNS сервера? А то приходится им вручную прописывать в свойствах соединения. Если кого заинтересует - нарисую картинку..
И еще: после соединения модемов при идентификации пользователя соединение происходит на сразу - число попыток входа от 1 до 3х. ВИНДа даёт 777 ошибку. Ясен пень что надо таймаут увеличить. Или я ошибаюсь?
Гостю Добавлю только для заинтересовавшихся - перевод там достаточно дебильный...хотите реально что-то знать - читайте оригиналы, а если хотца еще и экзамены сдать - то читайте CiscoPress в оригинале (хотя и там...промолчим...глючат они тоже, бывает).
Логично - книжка, она ж на все случаи жизни написана. Зато в следующий раз, когда понадобится что-то прикрутить, можно будет не искать книжку вообще. Это если объем памяти позволяет. А так - если лениво читать, или лениво искать, то лучше денег заплатить тому, кто уже знает КАК. Но что-то мы уже опять зациклились на этой теме
Да, зациклились. Я смирился со всем кроме: 1. При первом подключении пользователей, после соединения модемов всё нормально, при последующих - с 3-го раза. 2. Как ей сказать чтобы она клиентам предоставляла адрес DNS сервера. --------------------- Вряд ли я это всё в книжках найду, подобные вещи там сильно завуалированы
По первому пункту информации мало. Обычно на месте, когда есть логи, когда можно повторить ситуацию - это решается за полчаса - эа это нам и платят А второй пункт - "читайте книжки, они рулез" (C) не помню чей. Ключевые слова - либо DHCP, либо PPP IPCP, как удобней (ну или если PPP нет, а есть SLIP). Если эти слова в книжке не ищутся - меняй книжку. Можно также сэкономить кучу денег на книжках, если зайти на www.cisco.com почитать IOS Command Reference, а потом посмотреть в разделе Configuration Cookbook, как это реализовано.
Зомби, противно уже смотреть на твою навязчивость в вопросах, задаваемых не в тех местах. может быть уместо было бы посмотреть debug на то, почему происходят reject'ы? debug aaa ... debug ppp authentication async-bootp dns-server 10.0.10.1 10.0.10.2 Только хакеры и {*****} книжек не читают. http://www.cisco.com/warp/public/793/access_dial/pppdialup.html - там все написано.
Ну не хватает у меня денег на курсы. А про эту ссылку - был я там, причем давно уже. ПРО DNS не нашел. Но всё равно спасибо.
Может кто читал невнимательно - я про ВЫДЕЛЕННЫЕ ЛИНИИ спрашивал, если через ГТС звонить - всё работает с первого раза. А reject'ов никаких нет, пока сеанс не начался, не доходит до них дело...