feeman Опубликовано 5 октября, 2016 (изменено) Не могу понять что за фантастика 1. Создал лист: access-list 101 permit tcp any any access-list 101 permit ip any any 2. Добавил к листу intercept: ip tcp intercept list 101 ip tcp intercept mode intercept ip tcp intercept drop-mode oldest ip tcp intercept connection-timeout 120 ip tcp intercept watch-timeout 15 ip tcp intercept finrst-timeout 5 ip tcp intercept connection-timeout 120 ip tcp intercept max-incomplete low 500 high 1000 ip tcp intercept one-minute low 500 high 1000 И сразу же после добавления intercept, циска перестает пускать до серверов.... Мож кто объяснит, чего циске не нравиться? Изменено 6 октября, 2016 пользователем feeman Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mikezzzz Опубликовано 6 октября, 2016 The TCP intercept feature implements software to protect TCP servers from TCP SYN-flooding attacks, which are a type of denial-of-service attack. а нафиг ip any any указываете? укажите в качестве dst сеть с серверами, возможно даже порты и что, собственно, за циска? и что говорит show tcp intercept connections show tcp intercept statistics ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
feeman Опубликовано 6 октября, 2016 а нафиг ip any any указываете? Убрал permite ip any any укажите в качестве dst сеть с серверами, возможно даже порты Есть желание, чтоб киска инспектировала все коннекты.По этому не каких ip адресов не указывал. и что, собственно, за циска? 2851 2851# show tcp intercept connections Incomplete: Client Server State Create Timeout Mode 41.252.40.23:2818 188.130.X.0:23 SYNRCVD 00:00:13 00:00:01 I 78.189.18.202:60322 188.130.X.0:23 SYNRCVD 00:00:27 00:00:03 I 78.189.18.202:56116 188.130.X.0:23 SYNSENT 00:00:27 00:00:03 I 78.189.18.202:56117 188.130.X.0:23 SYNSENT 00:00:26 00:00:04 I Established: Client Server State Create Timeout Mode 89.169.X.109:18383 188.130.X.10:443 ESTAB 00:00:16 00:01:55 I 89.169.X.109:18379 188.130.X.10:443 ESTAB 00:00:49 00:01:25 I 2851# show tcp intercept statistics Intercepting new connections using access-list 101 12 incomplete, 0 established connections (total 12) 6 connection requests per minute Вот собственно отражается что я коннекчюсь с адреса 89.169.X.109 но всё без безрезультатно. В итоге получаю сообщеине TIME OUT Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mikezzzz Опубликовано 6 октября, 2016 а если в watch перевести? ip tcp intercept mode watch связность появляется? софт какой стоит? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
feeman Опубликовано 6 октября, 2016 ikezzzz, фантастика продолжается... Перевел intercept в watch и сразу появилсяд доступ софт какой стоит ROM: System Bootstrap, Version 12.4(13r)T11, RELEASE SOFTWARE (fc1) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mikezzzz Опубликовано 7 октября, 2016 я бы попробовал обновить/поставить другой ios, в 12.4(15) или 12.4(20). там вроде вносились изменения Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
