Walday Опубликовано 21 февраля, 2011 · Жалоба Кто какие порты блокирует в своей сети? Сходу на ум приходит SMTP и броадкасты, а что еще уважаемые блокируют? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
darkagent Опубликовано 21 февраля, 2011 · Жалоба tcp/udp 135-139, 445; udp 80; и udp dst-addr 255.255.255.255. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
motorhunter Опубликовано 21 февраля, 2011 · Жалоба udp dst-addr 255.255.255.255. А это для чего, можно поинтересоваться? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
darkagent Опубликовано 21 февраля, 2011 · Жалоба udp dst-addr 255.255.255.255.А это для чего, можно поинтересоваться? это широковещательный мусор, стучащийся во все дырки. и между прочим увесистый. если у вас абоненты в интернет ходят через впн - то наличие фильтра по такому критерию на виртуал-темплейте снижает на 20-30% нагрузку на cpu впн-сервера. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
motorhunter Опубликовано 21 февраля, 2011 (изменено) · Жалоба У нас ходят именно через VPN, в качестве NAS - серверы под Linux, фильтров нет там никаких, мониторил трафик - не выловил подобных пакетов. Но всё равно, спасибо за совет, попробую закрыть. Кстати, раз уж речь зашла, можно немного развить тему - кроме локалки, какие порты можно позакрывать для интернет-трафика, проходящего через VPN? В настоящий момент у нас закрыты tcp dport 135 и 445, а еще против спамеров стоит правило -A FORWARD -p tcp -m tcp --dport 25 --tcp-flags FIN,SYN,RST,ACK SYN -m connlimit --connlimit-above 10 --connlimit-mask 32 -j REJECT --reject-with icmp-port-unreachable Что еще добавить? Изменено 21 февраля, 2011 пользователем motorhunter Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
darkagent Опубликовано 21 февраля, 2011 · Жалоба фильтров нет там никаких, мониторил трафик - не выловил подобных пакетов.внутри тунелей? что то не верится.>> deny udp any host 255.255.255.255 (908368 matches) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 21 февраля, 2011 · Жалоба >> deny udp any host 255.255.255.255 (908368 matches) Что-то не так много , щас включил , cpu не сильно упала... но спасибо за совет 90 deny udp any host 255.255.255.255 (1083 matches) 100 permit ip any any (10518635 matches) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
motorhunter Опубликовано 21 февраля, 2011 · Жалоба Сейчас посмотрел - на порты 137 и 445 идет довольно много входящего трафика (исходящий заблокирован), имеет ли смысл закрыть и входящий? Может быть, прямо на бордере его дропать? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
GFORGX Опубликовано 21 февраля, 2011 · Жалоба Сейчас посмотрел - на порты 137 и 445 идет довольно много входящего трафика (исходящий заблокирован), имеет ли смысл закрыть и входящий? Может быть, прямо на бордере его дропать? Это NetBIOS. Смысл, наверное, имеет, чтобы не забивать этой ерундой линки между бордером и BRAS-ами. Только вот канал вам это не освободит :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
andreyk Опубликовано 21 февраля, 2011 · Жалоба tcp/udp 135-139, 445; udp 80;и udp dst-addr 255.255.255.255. Для блокирования нетбиоса и компании достаточно закрыть 135-139 и 445 тсп порты и 135-138 юдп порты, это на тот случай если ограничено кол-во ацл в свиче на котором будем резать эти самые порты.Поправьте если не прав. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
darkagent Опубликовано 21 февраля, 2011 · Жалоба каждый сам для себя выбирает потенциальный ущерб: http://www.auditmypc.com/port/tcp-port-135.asphttp://www.auditmypc.com/port/udp-port-135.asp http://www.auditmypc.com/port/tcp-port-136.asp http://www.auditmypc.com/port/udp-port-136.asp http://www.auditmypc.com/port/tcp-port-137.asp http://www.auditmypc.com/port/udp-port-137.asp http://www.auditmypc.com/port/tcp-port-138.asp http://www.auditmypc.com/port/udp-port-138.asp http://www.auditmypc.com/port/tcp-port-139.asp http://www.auditmypc.com/port/udp-port-139.asp http://www.auditmypc.com/port/tcp-port-445.asp http://www.auditmypc.com/port/udp-port-445.asp udp/445 например хорош следующим:Port Description: Microsoft Direct Host/Microsoft Directory Services.XP installations may be vulnerable to 100% CPU DoS when sent 3000 TCP SYN packets to this port. Null Session Enumeration may also work against this UDP port Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
true.ru Опубликовано 22 февраля, 2011 · Жалоба darkagent расскажите подробнее про udp 80. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
andriko Опубликовано 22 февраля, 2011 · Жалоба darkagent расскажите подробнее про udp 80. популярный таржет для ДДОСа ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
darkagent Опубликовано 22 февраля, 2011 · Жалоба популярный таржет для ДДОСа ?в точку..особенно если это udp:/255.255.255.255:80 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 22 февраля, 2011 · Жалоба Если интересно - вот acl на virtual template 7206 Extended IP access list 115 10 deny tcp any eq 135 any (79 matches) 20 deny tcp any eq 137 any 30 deny tcp any eq 139 any (485493 matches) 40 deny tcp any eq 445 any (42478 matches) 50 deny tcp any eq 587 any (988 matches) 60 deny udp any eq 135 any 70 deny udp any eq netbios-ns any (1029414 matches) 80 deny udp any eq netbios-ss any (753 matches) 90 deny udp any host 255.255.255.255 (397288 matches) 100 permit ip any any (2637112567 matches) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
true.ru Опубликовано 22 февраля, 2011 · Жалоба в продолжении закрытия портов в спд. есть nat сервер, который пробрасывает только порт 1723 и icmp в сторону терминирующих серверов. один из его интерфейсов, который принимает пакеты от юзеров, включен в dlink dgs-3426. авторизация происходит по pptp. сегодня решил дампом посмотреть что сыпется в сторону сервера tcpdump -i eth2 -c 5000 -n not proto 47 and not port 1723 and not arp в вложении то. что насобирал. хочу отфильтровать этот мусор на dgs. что кроме tcp 1723, arp, gre надо еще разрешить для нормальной работы юзеров? 123.txt Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 22 февраля, 2011 · Жалоба Если интересно - вот acl на virtual template 7206 Extended IP access list 115 10 deny tcp any eq 135 any (79 matches) 20 deny tcp any eq 137 any 30 deny tcp any eq 139 any (485493 matches) 40 deny tcp any eq 445 any (42478 matches) 50 deny tcp any eq 587 any (988 matches) 60 deny udp any eq 135 any 70 deny udp any eq netbios-ns any (1029414 matches) 80 deny udp any eq netbios-ss any (753 matches) 90 deny udp any host 255.255.255.255 (397288 matches) 100 permit ip any any (2637112567 matches) А разбор этих правил не сильно прогружает cpu? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Mic Опубликовано 22 февраля, 2011 · Жалоба А разбор этих правил не сильно прогружает cpu? Если сильно грузит можно попробовать включить turbo acl на 7200. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vIv Опубликовано 23 февраля, 2011 · Жалоба tcp/udp 135-139, 445; udp 80;и udp dst-addr 255.255.255.255. UDP/80 - что такое с ним? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
darkagent Опубликовано 23 февраля, 2011 · Жалоба UDP/80 - что такое с ним?если ваши хомячки вступили (естественно недобровольно) в членство какого-нибудь приличного ботнета, в момент X, когда "командный центр" посылает зомбям команду "в атаку", счетчики данного фильтра молниеносно нарастают. Да и потом меньше вопросов от пострадавшей стороны - точнее этих вопросов и вовсе нет, когда атака идет только по udp/80. полезного трафика по udp/80 никогда еще не встречал, хоть он и заявлен как http. вопрос на засыпку - а ваши абоненты учавствовали в "100G ddos"-атаке? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Alexspils Опубликовано 23 февраля, 2011 · Жалоба а udp dst-addr 255.255.255.255 не убёт дхцп? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vIv Опубликовано 23 февраля, 2011 · Жалоба Просто я бы для коротких запросов вебсервисов в первую очередь UDP/80 заюзал бы. Быстро, удобно, очевидно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 24 февраля, 2011 · Жалоба Если сильно грузит можно попробовать включить turbo acl на 7200. У нас не 7200, циска по-проще и используется pptp - в этом случае в Virtual Template заталкивать этот ACL? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 24 февраля, 2011 · Жалоба А разбор этих правил не сильно прогружает cpu? Этот acl был изначально включен, а так -7206 npe-g1(pptp+bgp) - как везде и писалось - 500-600 pptp, cpu до 80%. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
true.ru Опубликовано 24 февраля, 2011 · Жалоба а udp dst-addr 255.255.255.255 не убёт дхцп? убьет, но darkagent фильтрует это в gre. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...