[kiotoman]

подкинули тут тележку 2950g практически за бесценок,вот теперь сидим голову ломаем куда бы их приспособить уж больно староваты железки?!

из описания "Серия Cisco Catalyst 2950 -

* Полнофункциональная фильтрация Layer3 и Layer4. Ограничение доступа по IP (layer 3) и номеру порта tcp/udp (layer 4)"

 

хотя бы это на них можно реализовать?

 

"4.1>Q: Рекомендации по access-lists для защиты от атак из интернета.

 

Некоторые рекомендации и соображения.

aaa.bbb.ccc.ddd, naa.nbb.ncc.ndd - соответственно свои сеть и маска.

wba.wbb.wbc.wbd - wildcard bits

 

ВНИМАНИЕ !!! в access-list используется не netmask, а wildcard bits.

Есть жуткая формула, но я предпочитаю пользоватся такой -

 

WB=255-NM

таким образом, если netmask 255.255.255.0 в access-list

пишется 0.0.0.255

 

! deny all RFC1597 & default

no access-list 101

access-list 101 deny ip host 0.0.0.0 any

access-list 101 deny ip 10.0.0.0 0.255.255.255 any

access-list 101 deny ip 127.0.0.0 0.255.255.255 any

access-list 101 deny ip 172.16.0.0 0.15.255.255 any

access-list 101 deny ip 192.168.0.0 0.0.255.255 any

! deny ip spoofing

access-list 101 deny ip aaa.bbb.ccc.ddd wba.wbb.wbc.wbd any

! deny netbios

access-list 101 deny udp any any range 137 139 log

access-list 101 deny tcp any any range 137 139 log

! deny Back-Orifice

access-list 101 deny udp any any eq 31337 log

! deny telnet

access-list 101 deny tcp any any eq telnet log

! deny unix r-commands and printer, NFS, X11, syslog. tftp

access-list 101 deny tcp any any range exec lpd log

access-list 101 deny udp any any eq sunrpc log

access-list 101 deny tcp any any eq sunrpc log

access-list 101 deny udp any any eq xdmcp log

access-list 101 deny tcp any any eq 177 log

access-list 101 deny tcp any any range 6000 6063 log

access-list 101 deny udp any any range 6000 6063 log

access-list 101 deny udp any any range biff syslog log

access-list 101 deny tcp any any eq 11 log

access-list 101 deny udp any any eq tftp log

! permit all

access-list 101 permit ip any any

no access-list 102

access-list 102 permit ip aaa.bbb.ccc.ddd wba.wbb.wbc.wbd any

access-list 102 deny ip any any

int XXX

ip access-group 101 in

ip access-group 102 out "

 

[ipaddr.ru]

Access-level switch. L3 и L4 на них делать вряд ли полноценно получится. Да и софт может потребоваться совсем не тот, что на них стоит.

[Stak]

На доступ их можно приспособить. Хороший свич)

[Nallien]

+1 на доступ :)

[ipaddr.ru]

Только по прайсовой цене стоимость порта запредельная получается :)

[Nag]

Только по прайсовой цене стоимость порта запредельная получается :)

Зато б.у. на уровне китая...