Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss
service status filtered
2 views
Skip to first unread message
Anton Gorlov
Dec 15, 2016, 4:54:58 PM12/15/16
to
Привет All!
Гм. а подскажите пожалуйста такую вещь:
В аццес листе отфильтровал часть сервисов, обычным
5 permit icmp any any
40 permit tcp host xx.zz.179.76 any
50 deny tcp any any eq 22 (543 matches)
60 deny tcp any host xx.yy.126.225 eq www (8 matches)
61 deny tcp any host xx.yy.126.225 eq 443 (6 matches)
....
и так далее по всем сервисам которые нужно прикрыть
На интерфейсе в сторону сервера
interface Vlan18
ip vrf forwarding CORE_WHITE
ip address xx.yy.126.226 255.255.255.252
ip access-group 100 out
no ip redirects
no ip unreachables
no ip proxy-arp
end
На интерфейсе апплинка циски аналогично
no ip redirects
no ip unreachables
no ip proxy-arp
Но при этом nmap всё таки рисует что сервисесть но он filtered
22/tcp filtered ssh
80/tcp filtered http
443/tcp filtered https
А как бы добиться, что бы со строны было проcто не видно, что там что-то есть
на этом порту?
С уважением. Anton aka Stalker
Linux Registered User #386476
[#*TEAM:*#] [#_Злой СисОп_#] [*Heavy Metal!*] [*_Усачи_*]
Гм. а подскажите пожалуйста такую вещь:
В аццес листе отфильтровал часть сервисов, обычным
5 permit icmp any any
40 permit tcp host xx.zz.179.76 any
50 deny tcp any any eq 22 (543 matches)
60 deny tcp any host xx.yy.126.225 eq www (8 matches)
61 deny tcp any host xx.yy.126.225 eq 443 (6 matches)
....
и так далее по всем сервисам которые нужно прикрыть
На интерфейсе в сторону сервера
interface Vlan18
ip vrf forwarding CORE_WHITE
ip address xx.yy.126.226 255.255.255.252
ip access-group 100 out
no ip redirects
no ip unreachables
no ip proxy-arp
end
На интерфейсе апплинка циски аналогично
no ip redirects
no ip unreachables
no ip proxy-arp
Но при этом nmap всё таки рисует что сервисесть но он filtered
22/tcp filtered ssh
80/tcp filtered http
443/tcp filtered https
А как бы добиться, что бы со строны было проcто не видно, что там что-то есть
на этом порту?
С уважением. Anton aka Stalker
Linux Registered User #386476
[#*TEAM:*#] [#_Злой СисОп_#] [*Heavy Metal!*] [*_Усачи_*]
Alexey Vissarionov
Dec 15, 2016, 6:44:57 PM12/15/16
to
Доброго времени суток, Anton!
16 Dec 2016 00:35:24, ты -> All:
AG> Но при этом nmap всё таки рисует что сервисесть но он filtered
AG> 22/tcp filtered ssh
AG> 80/tcp filtered http
AG> 443/tcp filtered https
AG> А как бы добиться, что бы со строны было проcто не видно, что
AG> там что-то есть на этом порту?
Соблюдать стандарты и посылать TH_RST.
З.Ы. (Замечу Ышо): от грамотного сканирования все равно не поможет - только
слушать на указанном междумордии (например, внутри VLAN по имени Management).
--
Alexey V. Vissarionov aka Gremlin from Kremlin
gremlin ПРИ gremlin ТЧК ru; +vii-cmiii-ccxxix-lxxix-xlii
... Кто в моей доброте усомнится, тот кровавыми слезами обольется
16 Dec 2016 00:35:24, ты -> All:
AG> Но при этом nmap всё таки рисует что сервисесть но он filtered
AG> 22/tcp filtered ssh
AG> 80/tcp filtered http
AG> 443/tcp filtered https
AG> А как бы добиться, что бы со строны было проcто не видно, что
AG> там что-то есть на этом порту?
Соблюдать стандарты и посылать TH_RST.
З.Ы. (Замечу Ышо): от грамотного сканирования все равно не поможет - только
слушать на указанном междумордии (например, внутри VLAN по имени Management).
--
Alexey V. Vissarionov aka Gremlin from Kremlin
gremlin ПРИ gremlin ТЧК ru; +vii-cmiii-ccxxix-lxxix-xlii
... Кто в моей доброте усомнится, тот кровавыми слезами обольется
Eugene Grosbein
Dec 16, 2016, 5:34:57 AM12/16/16
to
16 дек 2016, пятница, в 01:35 NOVT, Anton Gorlov написал(а):
AG> no ip unreachables
^^^^^^^^^^^^^^^^^^^^^^^^
AG> Hо при этом nmap всё таки рисует что сервисесть но он filtered
AG> есть
AG> на этом порту?
filtered это обозначение того, что порт зафильтрован, то есть при обращении
к нему ничего в ответ не посылается, в отличие от неиспользуемого
порта, при обращении к которому посылается TCP RST или ICMP unreachable.
А ты сам запретил посылать unreachables подчеркнутой командой.
Верни ip unreachables в конфигурацию интерфейсов.
Eugene
--
Комбинация заискивания, подкупа и устрашения заставит молодого ученого
работать над управляемыми снарядами или атомной бомбой. (Hорберт Винер)
AG> no ip unreachables
^^^^^^^^^^^^^^^^^^^^^^^^
AG> Hо при этом nmap всё таки рисует что сервисесть но он filtered
AG> 22/tcp filtered ssh
AG> 80/tcp filtered http
AG> 443/tcp filtered https
AG> А как бы добиться, что бы со строны было проcто не видно, что там что-то
AG> 80/tcp filtered http
AG> 443/tcp filtered https
AG> есть
AG> на этом порту?
filtered это обозначение того, что порт зафильтрован, то есть при обращении
к нему ничего в ответ не посылается, в отличие от неиспользуемого
порта, при обращении к которому посылается TCP RST или ICMP unreachable.
А ты сам запретил посылать unreachables подчеркнутой командой.
Верни ip unreachables в конфигурацию интерфейсов.
Eugene
--
Комбинация заискивания, подкупа и устрашения заставит молодого ученого
работать над управляемыми снарядами или атомной бомбой. (Hорберт Винер)
Anton Gorlov
Dec 16, 2016, 6:44:58 AM12/16/16
to
Привет Alexey!
16 дек 16 года (а было тогда 02:33)
Alexey Vissarionov в своем письме к Anton Gorlov писал:
AG>> Но при этом nmap всё таки рисует что сервисесть но он filtered
AG>> 22/tcp filtered ssh
AG>> 80/tcp filtered http
AG>> 443/tcp filtered https
AG>> А как бы добиться, что бы со строны было проcто не видно, что
AG>> там что-то есть на этом порту?
AV> Соблюдать стандарты и посылать TH_RST.
Так вот ивопрсо як их на циске...
AV> З.Ы. (Замечу Ышо): от грамотного сканирования все равно не поможет -
AV> только слушать на указанном междумордии (например, внутри VLAN по
AV> имени Management).
тут речь про скрипткиддисы..не более
16 дек 16 года (а было тогда 02:33)
Alexey Vissarionov в своем письме к Anton Gorlov писал:
AG>> Но при этом nmap всё таки рисует что сервисесть но он filtered
AG>> 22/tcp filtered ssh
AG>> 80/tcp filtered http
AG>> 443/tcp filtered https
AG>> А как бы добиться, что бы со строны было проcто не видно, что
AG>> там что-то есть на этом порту?
Так вот ивопрсо як их на циске...
AV> З.Ы. (Замечу Ышо): от грамотного сканирования все равно не поможет -
AV> только слушать на указанном междумордии (например, внутри VLAN по
AV> имени Management).
тут речь про скрипткиддисы..не более
Anton Gorlov
Dec 16, 2016, 4:34:57 PM12/16/16
to
Привет eugen!
16 дек 16 года (а было тогда 16:15)
Eugene Grosbein в своем письме к Anton Gorlov писал:
AG>> no ip unreachables
EG> ^^^^^^^^^^^^^^^^^^^^^^^^
AG>> Hо при этом nmap всё таки рисует что сервисесть но он filtered
AG>> 22/tcp filtered ssh
EG> filtered это обозначение того, что порт зафильтрован, то есть при
EG> обращении к нему ничего в ответ не посылается, в отличие от
EG> неиспользуемого порта, при обращении к которому посылается TCP RST или
EG> ICMP unreachable.
EG> А ты сам запретил посылать unreachables подчеркнутой командой.
EG> Верни ip unreachables в конфигурацию интерфейсов.
Убрал с интерфейсов апплинка/даунлинка. Ситуация не изменилась.
interface Vlan17
ip vrf forwarding CORE_WHITE
ip address xx.yy.127.234 255.255.255.252
no ip redirects
no ip proxy-arp
end
interface Vlan18
ip vrf forwarding CORE_WHITE
ip address xx.yy.126.226 255.255.255.252
ip access-group 100 out
no ip redirects
no ip proxy-arp
end
16 дек 16 года (а было тогда 16:15)
Eugene Grosbein в своем письме к Anton Gorlov писал:
AG>> no ip unreachables
EG> ^^^^^^^^^^^^^^^^^^^^^^^^
AG>> Hо при этом nmap всё таки рисует что сервисесть но он filtered
AG>> 22/tcp filtered ssh
EG> обращении к нему ничего в ответ не посылается, в отличие от
EG> неиспользуемого порта, при обращении к которому посылается TCP RST или
EG> ICMP unreachable.
EG> А ты сам запретил посылать unreachables подчеркнутой командой.
EG> Верни ip unreachables в конфигурацию интерфейсов.
Убрал с интерфейсов апплинка/даунлинка. Ситуация не изменилась.
interface Vlan17
ip vrf forwarding CORE_WHITE
ip address xx.yy.127.234 255.255.255.252
no ip redirects
no ip proxy-arp
end
interface Vlan18
ip vrf forwarding CORE_WHITE
ip address xx.yy.126.226 255.255.255.252
ip access-group 100 out
no ip redirects
end
Eugene Grosbein
Dec 19, 2016, 5:24:57 AM12/19/16
to
17 дек 2016, суббота, в 01:16 NOVT, Anton Gorlov написал(а):
AG>>> no ip unreachables
EG>> ^^^^^^^^^^^^^^^^^^^^^^^^
AG>>> Hо при этом nmap всё таки рисует что сервисесть но он filtered
AG>>> 22/tcp filtered ssh
EG>> filtered это обозначение того, что порт зафильтрован, то есть при
EG>> обращении к нему ничего в ответ не посылается, в отличие от
EG>> неиспользуемого порта, при обращении к которому посылается TCP RST или
EG>> ICMP unreachable.
EG>> А ты сам запретил посылать unreachables подчеркнутой командой.
EG>> Верни ip unreachables в конфигурацию интерфейсов.
AG> Убрал с интерфейсов апплинка/даунлинка. Ситуация не изменилась.
Возможно, nmap реагирует только на TCP RST, а не на ICMP port unreachable.
Циска твоя не умеет посылать TCP RST, разве что у неё есть команда
ip tcp intercept в глобальном режиме конфигурации.
Если есть, то почитай про ip tcp intercept.
Eugene
--
Поэты - страшные люди. У них все святое.
AG>>> no ip unreachables
EG>> ^^^^^^^^^^^^^^^^^^^^^^^^
AG>>> Hо при этом nmap всё таки рисует что сервисесть но он filtered
AG>>> 22/tcp filtered ssh
EG>> filtered это обозначение того, что порт зафильтрован, то есть при
EG>> обращении к нему ничего в ответ не посылается, в отличие от
EG>> неиспользуемого порта, при обращении к которому посылается TCP RST или
EG>> ICMP unreachable.
EG>> А ты сам запретил посылать unreachables подчеркнутой командой.
EG>> Верни ip unreachables в конфигурацию интерфейсов.
Возможно, nmap реагирует только на TCP RST, а не на ICMP port unreachable.
Циска твоя не умеет посылать TCP RST, разве что у неё есть команда
ip tcp intercept в глобальном режиме конфигурации.
Если есть, то почитай про ip tcp intercept.
Eugene
--
Поэты - страшные люди. У них все святое.
Anton Gorlov
Dec 19, 2016, 2:34:57 PM12/19/16
to
Привет eugen!
19 дек 16 года (а было тогда 16:06)
EG> unreachable. Циска твоя не умеет посылать TCP RST, разве что у неё
EG> есть команда ip tcp intercept в глобальном режиме конфигурации.
EG> Если есть, то почитай про ip tcp intercept.
Увы нет такой опции
==
ASW1_C6509(config)#ip tcp ?
async-mobility Configure async-mobility
chunk-size TCP chunk size
mss TCP initial maximum segment size
path-mtu-discovery Enable path-MTU discovery on new TCP connections
queuemax Maximum queue of outgoing TCP packets
selective-ack Enable TCP selective-ACK
synwait-time Set time to wait on new TCP connections
timestamp Enable TCP timestamp option
window-size TCP window size
===
19 дек 16 года (а было тогда 16:06)
Eugene Grosbein в своем письме к Anton Gorlov писал:
EG> Возможно, nmap реагирует только на TCP RST, а не на ICMP port
EG> unreachable. Циска твоя не умеет посылать TCP RST, разве что у неё
EG> есть команда ip tcp intercept в глобальном режиме конфигурации.
EG> Если есть, то почитай про ip tcp intercept.
Увы нет такой опции
==
ASW1_C6509(config)#ip tcp ?
async-mobility Configure async-mobility
chunk-size TCP chunk size
mss TCP initial maximum segment size
path-mtu-discovery Enable path-MTU discovery on new TCP connections
queuemax Maximum queue of outgoing TCP packets
selective-ack Enable TCP selective-ACK
synwait-time Set time to wait on new TCP connections
timestamp Enable TCP timestamp option
window-size TCP window size
===
0 new messages