nixx Posted August 8 (edited) · Report post встал на ручник, не могу догуглиться до истины ) хочу позакрывать входящие коннекты к NAT'у, поднятому на ASR. наиболее логичным мне видится использование Reflexive ACL вот только в ASR этот вид ACL не завезли в связи с этим вопрос к цисковедам - что такое "ENH" в нижнем комменте по ссылке (никак не могу расшифровать), либо как иначе можно закрыться от всех входящих коннектов в адреса ната, которые не established изнутри из-под ната? самое простое было бы - если б кто-то с цискологином зашел в https://bst.cisco.com/quickview/bug/CSCvn75709 и поделился содержимым. Edited August 8 by nixx Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
VolanD666 Posted August 9 · Report post Чет я не понял. Ну вот есть НАТ на адресе. Если в таблице нет трансляции и на этот адрес-порт стучится бот, то что? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
nixx Posted August 9 · Report post ...то qfp 99% при 2,7 Mpps входящего паразитного. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
VolanD666 Posted August 9 · Report post 1 час назад, nixx сказал: ...то qfp 99% при 2,7 Mpps входящего паразитного. Дык это надо CoPP настраивать. Ну и плюс на сервисах самого ASR у вас же висят ACLи и в Инет они же не смотрят? Хотя если QFP.. странно Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
nixx Posted August 9 · Report post при таких вопросах у меня возникает ощущение, что я чего-то совсем не знаю. как CoPP соотносится с загрузкой qfp, который data plane? можете на пальцах или в мануал потыкать? с софт-процессором же control plane у меня как раз все радужно, не выше 3%. и про какие сервисы самого ASR речь? у меня там кроме телнета/радиуса/snmp на отдельном физ интерфейсе/vrf'е, вообще ничего нет, и они недостижимы извне в принципе. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
VolanD666 Posted August 9 · Report post 4 минуты назад, nixx сказал: при таких вопросах у меня возникает ощущение, что я чего-то совсем не знаю. Да нет, это я что-то сразу не подумал про QFP. 1 минуту назад, nixx сказал: как CoPP соотносится с загрузкой qfp, который data plane? Вы считаете, что это из-за паразитного трафика на NAT адреса? А адрес прям прописан на инт-се или там просто трансляция в конфиге? Если на инт-се и нет трансляции по идее это уже адрес самого роутера и трафик должен лететь на CPU. Может НАТ как-то не так настроен? У меня просто был NATна ASR, но с этим проблем не было. Может дело в прошивке? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
nixx Posted August 9 · Report post просто трансляция в конфиге, сами адреса нигде не вписаны, кроме нат-пула. то, что я ловлю tcpdump'ом на бордере выше ASR - это сплошь входящий трафик на адреса ната, причем и на те, в которые сама циска никого не занатила (ну т.е. просто свободные от сессий) в предыдущие атаки циске было абсолютно плевать на подобный трафик, да и сами атаки быстро сворачивались по причине того, что циска им ничего не отвечала, ну и ппс был достаточно мелкий. сейчас она тоже ничего не отвечает, но ее безостановочно долбят с большим ппсом совершенно рандомным трафиком, и она оху... уходит в себя. (оффтопик) подозреваю, что в работе уже не it army, а кто-то еще типа ркн/цмуссопа... (ну это личная паранойя по принципу "кому выгодно"). либо эта самая it army сменила стратегию. раньше они быстро отваливались, если им в ответ было просто молчание. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
BOJIKA Posted August 9 · Report post packet-trace'ом на этот флуд смотрел? какая версия софта? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zhenya` Posted August 11 · Report post Qfp действительно очень больно, когда много пакетов летит, которые не попадают в Нат трансляции ) это касается и атак в нат пул и просто маршрутизации трафика, которому не нужно подвергаться нату через интерфейс с nat outside. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
sirmax Posted August 11 · Report post 30 минут назад, zhenya` сказал: Qfp действительно очень больно, когда много пакетов летит, которые не попадают в Нат трансляции ) это касается и атак в нат пул и просто маршрутизации трафика, которому не нужно подвергаться нату через интерфейс с nat outside. а решение есть? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
nixx Posted August 11 (edited) · Report post Цитата Symptom: CLI for Reflexive acls not present Conditions: CLI to configure reflexive acls missing Workaround: use ZBFW instead (c) https://bst.cisco.com/bugsearch/bug/CSCvn75709 я таки осилил изобразить из себя американца с цискологином. но что такое "ENH" - так и осталось непонятым (для меня). либо это что-то "Enhanced", и такого в списке фич асрки чуть ли не тысяча разного, либо это какая-то аббревиатура, и тогда я не могу найти/сопоставить. пойду ZBFW постигать... поможет ли? ) ps: asr1002x-universalk9.16.09.08.SPA.bin, если кому-то почему-то интересно. Feature navigator уверяет, что Reflexive ACL в ветках 16 и 17 присутствуют )) но их там нет. Edited August 11 by nixx Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
sdy_moscow Posted August 11 · Report post Попробуйте вместо ASR софтовый ANAT. У вас какая ASR стоит? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
sdy_moscow Posted August 11 · Report post P.S. Одна правда проблемка.... поскольку АНАТ - CGNAT, то мусор будет сыпаться на клиентов. Но кстати допилить его до "полного" ната при желании можно без проблем, только не знаю будет ли это быстрее коннтрака (исходники его не смотрел). Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
nixx Posted August 11 · Report post 32 минуты назад, sdy_moscow сказал: Попробуйте вместо ASR софтовый ANAT. У вас какая ASR стоит? 1002-X у меня. я хотел попробовать ANAT в другой инсталляции, где стоит линуксовый "чистый" нат без каких-либо доп навесок (на ASR и авторизация, и шейпинг сделаны, помимо ната), но нюанс про cg-nat оставался незамеченным. в таком случае он мне вообще никак не полезен в свете регулярных атак от "коллег" из-за рубежа, а более вреден. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
sdy_moscow Posted August 11 · Report post 26 минут назад, nixx сказал: 1002-X у меня. я хотел попробовать ANAT в другой инсталляции, где стоит линуксовый "чистый" нат без каких-либо доп навесок (на ASR и авторизация, и шейпинг сделаны, помимо ната), но нюанс про cg-nat оставался незамеченным. в таком случае он мне вообще никак не полезен в свете регулярных атак от "коллег" из-за рубежа, а более вреден. Смотря какие задачи решаете... если НАТ в качестве Файрвола - то да, если же работаете в качестве оператора - то сложно сказать, что лучше и правильнее. Допилить до фильтрации по IP адресам АНАТ в общем-то не так сложно, разве что придется чуть помудрить с созданием сессий и как следствие расход портов на клиента подрастет. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...