Jump to content
Калькуляторы

Закрытие портов в ЛВС Кто какие порты блокирует в своей сети?

Кто какие порты блокирует в своей сети?

Сходу на ум приходит SMTP и броадкасты, а что еще уважаемые блокируют?

Share this post


Link to post
Share on other sites
udp dst-addr 255.255.255.255.
А это для чего, можно поинтересоваться?

это широковещательный мусор, стучащийся во все дырки. и между прочим увесистый. если у вас абоненты в интернет ходят через впн - то наличие фильтра по такому критерию на виртуал-темплейте снижает на 20-30% нагрузку на cpu впн-сервера.

Share this post


Link to post
Share on other sites

У нас ходят именно через VPN, в качестве NAS - серверы под Linux, фильтров нет там никаких, мониторил трафик - не выловил подобных пакетов. Но всё равно, спасибо за совет, попробую закрыть.

 

Кстати, раз уж речь зашла, можно немного развить тему - кроме локалки, какие порты можно позакрывать для интернет-трафика, проходящего через VPN? В настоящий момент у нас закрыты tcp dport 135 и 445, а еще против спамеров стоит правило

-A FORWARD -p tcp -m tcp --dport 25 --tcp-flags FIN,SYN,RST,ACK SYN -m connlimit --connlimit-above 10 --connlimit-mask 32 -j REJECT --reject-with icmp-port-unreachable

 

Что еще добавить?

 

Edited by motorhunter

Share this post


Link to post
Share on other sites
фильтров нет там никаких, мониторил трафик - не выловил подобных пакетов.
внутри тунелей? что то не верится.

>> deny udp any host 255.255.255.255 (908368 matches)

Share this post


Link to post
Share on other sites
>> deny udp any host 255.255.255.255 (908368 matches)

Что-то не так много , щас включил , cpu не сильно упала... но спасибо за совет

 

90 deny udp any host 255.255.255.255 (1083 matches)

100 permit ip any any (10518635 matches)

Share this post


Link to post
Share on other sites

Сейчас посмотрел - на порты 137 и 445 идет довольно много входящего трафика (исходящий заблокирован), имеет ли смысл закрыть и входящий? Может быть, прямо на бордере его дропать?

Share this post


Link to post
Share on other sites

Сейчас посмотрел - на порты 137 и 445 идет довольно много входящего трафика (исходящий заблокирован), имеет ли смысл закрыть и входящий? Может быть, прямо на бордере его дропать?

Это NetBIOS. Смысл, наверное, имеет, чтобы не забивать этой ерундой линки между бордером и BRAS-ами. Только вот канал вам это не освободит :)

Share this post


Link to post
Share on other sites
tcp/udp 135-139, 445; udp 80;

и udp dst-addr 255.255.255.255.

Для блокирования нетбиоса и компании достаточно закрыть 135-139 и 445 тсп порты и 135-138 юдп порты, это на тот случай если ограничено кол-во ацл в свиче на котором будем резать эти самые порты.

Поправьте если не прав.

Share this post


Link to post
Share on other sites

каждый сам для себя выбирает потенциальный ущерб:

udp/445 например хорош следующим:

Port Description: Microsoft Direct Host/Microsoft Directory Services.XP installations may be vulnerable to 100% CPU DoS when sent 3000 TCP SYN packets to this port. Null Session Enumeration may also work against this UDP port

Share this post


Link to post
Share on other sites
darkagent расскажите подробнее про udp 80.

популярный таржет для ДДОСа ?

Share this post


Link to post
Share on other sites
популярный таржет для ДДОСа ?
в точку..

особенно если это udp:/255.255.255.255:80

 

Share this post


Link to post
Share on other sites

Если интересно - вот acl на virtual template 7206

 

Extended IP access list 115

10 deny tcp any eq 135 any (79 matches)

20 deny tcp any eq 137 any

30 deny tcp any eq 139 any (485493 matches)

40 deny tcp any eq 445 any (42478 matches)

50 deny tcp any eq 587 any (988 matches)

60 deny udp any eq 135 any

70 deny udp any eq netbios-ns any (1029414 matches)

80 deny udp any eq netbios-ss any (753 matches)

90 deny udp any host 255.255.255.255 (397288 matches)

100 permit ip any any (2637112567 matches)

 

 

Share this post


Link to post
Share on other sites

в продолжении закрытия портов в спд.

есть nat сервер, который пробрасывает только порт 1723 и icmp в сторону терминирующих серверов.

один из его интерфейсов, который принимает пакеты от юзеров, включен в dlink dgs-3426.

авторизация происходит по pptp.

 

сегодня решил дампом посмотреть что сыпется в сторону сервера

tcpdump -i eth2 -c 5000 -n not proto 47 and not port 1723 and not arp

 

в вложении то. что насобирал.

 

 

хочу отфильтровать этот мусор на dgs.

что кроме tcp 1723, arp, gre надо еще разрешить для нормальной работы юзеров?

 

123.txt

Share this post


Link to post
Share on other sites
Если интересно - вот acl на virtual template 7206

 

Extended IP access list 115

10 deny tcp any eq 135 any (79 matches)

20 deny tcp any eq 137 any

30 deny tcp any eq 139 any (485493 matches)

40 deny tcp any eq 445 any (42478 matches)

50 deny tcp any eq 587 any (988 matches)

60 deny udp any eq 135 any

70 deny udp any eq netbios-ns any (1029414 matches)

80 deny udp any eq netbios-ss any (753 matches)

90 deny udp any host 255.255.255.255 (397288 matches)

100 permit ip any any (2637112567 matches)

А разбор этих правил не сильно прогружает cpu?

Share this post


Link to post
Share on other sites
А разбор этих правил не сильно прогружает cpu?

Если сильно грузит можно попробовать включить turbo acl на 7200.

Share this post


Link to post
Share on other sites
tcp/udp 135-139, 445; udp 80;

и udp dst-addr 255.255.255.255.

UDP/80 - что такое с ним?

Share this post


Link to post
Share on other sites
UDP/80 - что такое с ним?
если ваши хомячки вступили (естественно недобровольно) в членство какого-нибудь приличного ботнета, в момент X, когда "командный центр" посылает зомбям команду "в атаку", счетчики данного фильтра молниеносно нарастают. Да и потом меньше вопросов от пострадавшей стороны - точнее этих вопросов и вовсе нет, когда атака идет только по udp/80.

полезного трафика по udp/80 никогда еще не встречал, хоть он и заявлен как http.

вопрос на засыпку - а ваши абоненты учавствовали в "100G ddos"-атаке?

Share this post


Link to post
Share on other sites

Просто я бы для коротких запросов вебсервисов в первую очередь UDP/80 заюзал бы. Быстро, удобно, очевидно.

Share this post


Link to post
Share on other sites

Если сильно грузит можно попробовать включить turbo acl на 7200.

У нас не 7200, циска по-проще и используется pptp - в этом случае в Virtual Template заталкивать этот ACL?

Share this post


Link to post
Share on other sites
А разбор этих правил не сильно прогружает cpu?

Этот acl был изначально включен, а так -7206 npe-g1(pptp+bgp) - как везде и писалось - 500-600 pptp, cpu до 80%.

Share this post


Link to post
Share on other sites

а udp dst-addr 255.255.255.255 не убёт дхцп?

убьет, но darkagent фильтрует это в gre.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this