[Jora_Cornev]

Хочу одним правилом на киске закрыть доступ к 22 порту

ip access-list extended DENY_SSH
 deny   tcp any 172.17.0.0 0.0.255.255 eq 22
 permit ip any any

Для десятка sub-интерфейсов вида:

 

Скрытый текст

 

interface GigabitEthernet0/3.101

ip address 172.17.1.1 255.255.255.0

ip access-group DENY_SSH in
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip ospf flood-reduction
 ntp disable
 no cdp enable

 

interface GigabitEthernet0/3.102

ip address 172.17.2.1 255.255.255.0

ip access-group DENY_SSH in
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip ospf flood-reduction
 ntp disable
 no cdp enable

 

===========/////=============

 

interface GigabitEthernet0/3.111

ip address 172.17.11.1 255.255.255.0

ip access-group DENY_SSH in
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip ospf flood-reduction
 ntp disable
 no cdp enable

 

 

 

 

Но по неведомой мне причине правило не работает ...

Изменено 13 февраля, 2019 пользователем Jora_Cornev

[EvgeniySerb]

Пакеты точно не с другой стороны приходят ? 

[Jora_Cornev]

Абсурда ради я и на OUT тоже вешал, но результат тот же, не работает.

Изменено 13 февраля, 2019 пользователем Jora_Cornev

[EvgeniySerb]

2 hours ago, Jora_Cornev said:

Абсурда ради я и на OUT тоже вешал, но результат тот же, не работает.

 

Я не про это , ещё есть интерфейсы на этом маршрутизаторе ?

[god_of_ethernet]

@Jora_Cornev если вы правило на IN вешаете, то меняйте местами source и destination, а ваше правило можете на OUT повешать
вход

ip access-list extended DENY_SSH_IN
 deny tcp 172.17.0.0 0.0.255.255 any eq 22
 permit ip any any

выход 

ip access-list extended DENY_SSH_OUT
 deny tcp any 172.17.0.0 0.0.255.255 eq 22
 permit ip any any

Изменено 14 февраля, 2019 пользователем god_of_ethernet

[ikiliikkuja]

38 минут назад, god_of_ethernet сказал:

@Jora_Cornev если вы правило на IN вешаете, то меняйте местами source и destination, а ваше правило можете на OUT повешать
вход

ip access-list extended DENY_SSH_IN
 deny tcp 172.17.0.0 0.0.255.255 any eq 22
 permit ip any any

выход 

ip access-list extended DENY_SSH_OUT
 deny tcp any 172.17.0.0 0.0.255.255 eq 22
 permit ip any any

 

 

поправлю ip access-list extended DENY_SSH_OUT  deny tcp any eq 22 172.17.0.0 0.0.255.255

Изменено 14 февраля, 2019 пользователем ikiliikkuja

[zhenya`]

в первом посте все правильно. за исключением направления. OUT нужно. и тогда будет заблочен трафик к 22ому порту всего, что попадает в 172.17.0.0 0.0.255.255

[Jora_Cornev]

интересно послушать мнение общественности, какое правило меньше грузит CPU:

deny   tcp any eq 22 172.17.0.0 0.0.255.255

или

deny   tcp any 172.17.0.0 0.0.255.255 eq 22

 

15 часов назад, EvgeniySerb сказал:

Я не про это , ещё есть интерфейсы на этом маршрутизаторе ?

Есть, но они не сморят в сторону пользователей.

[god_of_ethernet]

11 часов назад, Jora_Cornev сказал:

интересно послушать мнение общественности, какое правило меньше грузит CPU

тут не в CPU дело, трафик на OUT это будут ответы от ssh сервера к хостам, следовательно надо матчить 22 порт с source.ip @ikiliikkuja  все правильно подметил.

[zhenya`]

а что за роутер то ? может ацл на нем вовсе не грузит цпу

[Jora_Cornev]

7206 NPE-G2

 

5 часов назад, zhenya` сказал:

может ацл на нем вовсе не грузит цпу

Вопрос конечно больше теоретический, цель которого сделать всё по фэншую

[zhenya`]

Тогда на том направлении, где меньше pps 

[Jora_Cornev]

не понял вашей мысли?

[Butch3r]

72 кошка софтовая

[zhenya`]

Капитан очевидность подсказывает, что чем меньше пакетов нужно проверить списком доступом тем лучше. 

 

 

[tehavto]

Если доступ нужно ограничить только на этот роутер:

 

line vty 0 4
 access-class DENY_SSH in
 end

Или надо зарубить SSH везде и для всех?

[zhenya`]

Он пытался закрыть в сторону хостов за роутером.