feeman Posted October 5, 2016 (edited) Не могу понять что за фантастика 1. Создал лист: access-list 101 permit tcp any any access-list 101 permit ip any any 2. Добавил к листу intercept: ip tcp intercept list 101 ip tcp intercept mode intercept ip tcp intercept drop-mode oldest ip tcp intercept connection-timeout 120 ip tcp intercept watch-timeout 15 ip tcp intercept finrst-timeout 5 ip tcp intercept connection-timeout 120 ip tcp intercept max-incomplete low 500 high 1000 ip tcp intercept one-minute low 500 high 1000 И сразу же после добавления intercept, циска перестает пускать до серверов.... Мож кто объяснит, чего циске не нравиться? Edited October 6, 2016 by feeman Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
mikezzzz Posted October 6, 2016 The TCP intercept feature implements software to protect TCP servers from TCP SYN-flooding attacks, which are a type of denial-of-service attack. а нафиг ip any any указываете? укажите в качестве dst сеть с серверами, возможно даже порты и что, собственно, за циска? и что говорит show tcp intercept connections show tcp intercept statistics ? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
feeman Posted October 6, 2016 а нафиг ip any any указываете? Убрал permite ip any any укажите в качестве dst сеть с серверами, возможно даже порты Есть желание, чтоб киска инспектировала все коннекты.По этому не каких ip адресов не указывал. и что, собственно, за циска? 2851 2851# show tcp intercept connections Incomplete: Client Server State Create Timeout Mode 41.252.40.23:2818 188.130.X.0:23 SYNRCVD 00:00:13 00:00:01 I 78.189.18.202:60322 188.130.X.0:23 SYNRCVD 00:00:27 00:00:03 I 78.189.18.202:56116 188.130.X.0:23 SYNSENT 00:00:27 00:00:03 I 78.189.18.202:56117 188.130.X.0:23 SYNSENT 00:00:26 00:00:04 I Established: Client Server State Create Timeout Mode 89.169.X.109:18383 188.130.X.10:443 ESTAB 00:00:16 00:01:55 I 89.169.X.109:18379 188.130.X.10:443 ESTAB 00:00:49 00:01:25 I 2851# show tcp intercept statistics Intercepting new connections using access-list 101 12 incomplete, 0 established connections (total 12) 6 connection requests per minute Вот собственно отражается что я коннекчюсь с адреса 89.169.X.109 но всё без безрезультатно. В итоге получаю сообщеине TIME OUT Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
mikezzzz Posted October 6, 2016 а если в watch перевести? ip tcp intercept mode watch связность появляется? софт какой стоит? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
feeman Posted October 6, 2016 ikezzzz, фантастика продолжается... Перевел intercept в watch и сразу появилсяд доступ софт какой стоит ROM: System Bootstrap, Version 12.4(13r)T11, RELEASE SOFTWARE (fc1) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
mikezzzz Posted October 7, 2016 я бы попробовал обновить/поставить другой ios, в 12.4(15) или 12.4(20). там вроде вносились изменения Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...