Jora_Cornev Опубликовано 13 февраля, 2019 (изменено) · Жалоба Хочу одним правилом на киске закрыть доступ к 22 порту ip access-list extended DENY_SSH deny tcp any 172.17.0.0 0.0.255.255 eq 22 permit ip any any Для десятка sub-интерфейсов вида: Скрытый текст interface GigabitEthernet0/3.101 ip address 172.17.1.1 255.255.255.0 ip access-group DENY_SSH in no ip redirects no ip unreachables no ip proxy-arp ip ospf flood-reduction ntp disable no cdp enable interface GigabitEthernet0/3.102 ip address 172.17.2.1 255.255.255.0 ip access-group DENY_SSH in no ip redirects no ip unreachables no ip proxy-arp ip ospf flood-reduction ntp disable no cdp enable ===========/////============= interface GigabitEthernet0/3.111 ip address 172.17.11.1 255.255.255.0 ip access-group DENY_SSH in no ip redirects no ip unreachables no ip proxy-arp ip ospf flood-reduction ntp disable no cdp enable Но по неведомой мне причине правило не работает ... Изменено 13 февраля, 2019 пользователем Jora_Cornev Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
EvgeniySerb Опубликовано 13 февраля, 2019 · Жалоба Пакеты точно не с другой стороны приходят ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Jora_Cornev Опубликовано 13 февраля, 2019 (изменено) · Жалоба Абсурда ради я и на OUT тоже вешал, но результат тот же, не работает. Изменено 13 февраля, 2019 пользователем Jora_Cornev Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
EvgeniySerb Опубликовано 14 февраля, 2019 · Жалоба 2 hours ago, Jora_Cornev said: Абсурда ради я и на OUT тоже вешал, но результат тот же, не работает. Я не про это , ещё есть интерфейсы на этом маршрутизаторе ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
god_of_ethernet Опубликовано 14 февраля, 2019 (изменено) · Жалоба @Jora_Cornev если вы правило на IN вешаете, то меняйте местами source и destination, а ваше правило можете на OUT повешать вход ip access-list extended DENY_SSH_IN deny tcp 172.17.0.0 0.0.255.255 any eq 22 permit ip any any выход ip access-list extended DENY_SSH_OUT deny tcp any 172.17.0.0 0.0.255.255 eq 22 permit ip any any Изменено 14 февраля, 2019 пользователем god_of_ethernet Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ikiliikkuja Опубликовано 14 февраля, 2019 (изменено) · Жалоба 38 минут назад, god_of_ethernet сказал: @Jora_Cornev если вы правило на IN вешаете, то меняйте местами source и destination, а ваше правило можете на OUT повешать вход ip access-list extended DENY_SSH_IN deny tcp 172.17.0.0 0.0.255.255 any eq 22 permit ip any any выход ip access-list extended DENY_SSH_OUT deny tcp any 172.17.0.0 0.0.255.255 eq 22 permit ip any any поправлю ip access-list extended DENY_SSH_OUT deny tcp any eq 22 172.17.0.0 0.0.255.255 Изменено 14 февраля, 2019 пользователем ikiliikkuja Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 14 февраля, 2019 · Жалоба в первом посте все правильно. за исключением направления. OUT нужно. и тогда будет заблочен трафик к 22ому порту всего, что попадает в 172.17.0.0 0.0.255.255 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Jora_Cornev Опубликовано 14 февраля, 2019 · Жалоба интересно послушать мнение общественности, какое правило меньше грузит CPU: deny tcp any eq 22 172.17.0.0 0.0.255.255 или deny tcp any 172.17.0.0 0.0.255.255 eq 22 15 часов назад, EvgeniySerb сказал: Я не про это , ещё есть интерфейсы на этом маршрутизаторе ? Есть, но они не сморят в сторону пользователей. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
god_of_ethernet Опубликовано 15 февраля, 2019 · Жалоба 11 часов назад, Jora_Cornev сказал: интересно послушать мнение общественности, какое правило меньше грузит CPU тут не в CPU дело, трафик на OUT это будут ответы от ssh сервера к хостам, следовательно надо матчить 22 порт с source.ip @ikiliikkuja все правильно подметил. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 15 февраля, 2019 · Жалоба а что за роутер то ? может ацл на нем вовсе не грузит цпу Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Jora_Cornev Опубликовано 15 февраля, 2019 · Жалоба 7206 NPE-G2 5 часов назад, zhenya` сказал: может ацл на нем вовсе не грузит цпу Вопрос конечно больше теоретический, цель которого сделать всё по фэншую Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 15 февраля, 2019 · Жалоба Тогда на том направлении, где меньше pps Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Jora_Cornev Опубликовано 15 февраля, 2019 · Жалоба не понял вашей мысли? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Butch3r Опубликовано 15 февраля, 2019 · Жалоба 72 кошка софтовая Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 15 февраля, 2019 · Жалоба Капитан очевидность подсказывает, что чем меньше пакетов нужно проверить списком доступом тем лучше. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
tehavto Опубликовано 7 марта, 2019 · Жалоба Если доступ нужно ограничить только на этот роутер: line vty 0 4 access-class DENY_SSH in end Или надо зарубить SSH везде и для всех? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 7 марта, 2019 · Жалоба Он пытался закрыть в сторону хостов за роутером. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...