Jump to content

Закрытие портов в ЛВС

Walday
 Share

Recommended Posts

  • Replies 52
  • Created
  • Last Reply

Top Posters In This Topic

Popular Days

Top Posters In This Topic

Popular Days

darkagent

darkagent

Posted
Posted
udp dst-addr 255.255.255.255.
А это для чего, можно поинтересоваться?

это широковещательный мусор, стучащийся во все дырки. и между прочим увесистый. если у вас абоненты в интернет ходят через впн - то наличие фильтра по такому критерию на виртуал-темплейте снижает на 20-30% нагрузку на cpu впн-сервера.
motorhunter

motorhunter

Posted
Posted (edited)

У нас ходят именно через VPN, в качестве NAS - серверы под Linux, фильтров нет там никаких, мониторил трафик - не выловил подобных пакетов. Но всё равно, спасибо за совет, попробую закрыть.

 

Кстати, раз уж речь зашла, можно немного развить тему - кроме локалки, какие порты можно позакрывать для интернет-трафика, проходящего через VPN? В настоящий момент у нас закрыты tcp dport 135 и 445, а еще против спамеров стоит правило

-A FORWARD -p tcp -m tcp --dport 25 --tcp-flags FIN,SYN,RST,ACK SYN -m connlimit --connlimit-above 10 --connlimit-mask 32 -j REJECT --reject-with icmp-port-unreachable

 

Что еще добавить?

 

Edited by motorhunter
YuryD

YuryD

Posted
Posted
>> deny udp any host 255.255.255.255 (908368 matches)

Что-то не так много , щас включил , cpu не сильно упала... но спасибо за совет

 

90 deny udp any host 255.255.255.255 (1083 matches)

100 permit ip any any (10518635 matches)

motorhunter

motorhunter

Posted
Posted

Сейчас посмотрел - на порты 137 и 445 идет довольно много входящего трафика (исходящий заблокирован), имеет ли смысл закрыть и входящий? Может быть, прямо на бордере его дропать?

GFORGX

GFORGX

Posted
Posted

Сейчас посмотрел - на порты 137 и 445 идет довольно много входящего трафика (исходящий заблокирован), имеет ли смысл закрыть и входящий? Может быть, прямо на бордере его дропать?

Это NetBIOS. Смысл, наверное, имеет, чтобы не забивать этой ерундой линки между бордером и BRAS-ами. Только вот канал вам это не освободит :)

andreyk

andreyk

Posted
Posted
tcp/udp 135-139, 445; udp 80;

и udp dst-addr 255.255.255.255.

Для блокирования нетбиоса и компании достаточно закрыть 135-139 и 445 тсп порты и 135-138 юдп порты, это на тот случай если ограничено кол-во ацл в свиче на котором будем резать эти самые порты.

Поправьте если не прав.

darkagent

darkagent

Posted
Posted

каждый сам для себя выбирает потенциальный ущерб:

udp/445 например хорош следующим:

Port Description: Microsoft Direct Host/Microsoft Directory Services.XP installations may be vulnerable to 100% CPU DoS when sent 3000 TCP SYN packets to this port. Null Session Enumeration may also work against this UDP port

YuryD

YuryD

Posted
Posted

Если интересно - вот acl на virtual template 7206

 

Extended IP access list 115

10 deny tcp any eq 135 any (79 matches)

20 deny tcp any eq 137 any

30 deny tcp any eq 139 any (485493 matches)

40 deny tcp any eq 445 any (42478 matches)

50 deny tcp any eq 587 any (988 matches)

60 deny udp any eq 135 any

70 deny udp any eq netbios-ns any (1029414 matches)

80 deny udp any eq netbios-ss any (753 matches)

90 deny udp any host 255.255.255.255 (397288 matches)

100 permit ip any any (2637112567 matches)

 

 

true.ru

true.ru

Posted
Posted

в продолжении закрытия портов в спд.

есть nat сервер, который пробрасывает только порт 1723 и icmp в сторону терминирующих серверов.

один из его интерфейсов, который принимает пакеты от юзеров, включен в dlink dgs-3426.

авторизация происходит по pptp.

 

сегодня решил дампом посмотреть что сыпется в сторону сервера

tcpdump -i eth2 -c 5000 -n not proto 47 and not port 1723 and not arp

 

в вложении то. что насобирал.

 

 

хочу отфильтровать этот мусор на dgs.

что кроме tcp 1723, arp, gre надо еще разрешить для нормальной работы юзеров?

 

123.txt

Andrei

Andrei

Posted
Posted
Если интересно - вот acl на virtual template 7206

 

Extended IP access list 115

10 deny tcp any eq 135 any (79 matches)

20 deny tcp any eq 137 any

30 deny tcp any eq 139 any (485493 matches)

40 deny tcp any eq 445 any (42478 matches)

50 deny tcp any eq 587 any (988 matches)

60 deny udp any eq 135 any

70 deny udp any eq netbios-ns any (1029414 matches)

80 deny udp any eq netbios-ss any (753 matches)

90 deny udp any host 255.255.255.255 (397288 matches)

100 permit ip any any (2637112567 matches)

А разбор этих правил не сильно прогружает cpu?
darkagent

darkagent

Posted
Posted
UDP/80 - что такое с ним?
если ваши хомячки вступили (естественно недобровольно) в членство какого-нибудь приличного ботнета, в момент X, когда "командный центр" посылает зомбям команду "в атаку", счетчики данного фильтра молниеносно нарастают. Да и потом меньше вопросов от пострадавшей стороны - точнее этих вопросов и вовсе нет, когда атака идет только по udp/80.

полезного трафика по udp/80 никогда еще не встречал, хоть он и заявлен как http.

вопрос на засыпку - а ваши абоненты учавствовали в "100G ddos"-атаке?

Andrei

Andrei

Posted
Posted

Если сильно грузит можно попробовать включить turbo acl на 7200.

У нас не 7200, циска по-проще и используется pptp - в этом случае в Virtual Template заталкивать этот ACL?

YuryD

YuryD

Posted
Posted
А разбор этих правил не сильно прогружает cpu?

Этот acl был изначально включен, а так -7206 npe-g1(pptp+bgp) - как везде и писалось - 500-600 pptp, cpu до 80%.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.