» Настройка Cisco оборудования

MagistrAnatol смотря какую, конкретней.

Цитата:

народ как удалить строку на циске 1800

попробуйте так:

Код:
#conf t
(config)#default ваша_строка

у меня cisco 2811, заметил что стоит ограничение на колво сессий по ssh, потом перестает пускать, приходится вырубать.... стараюсь выходит командой exit, но видимо не всегда получается, или комп выключу или сеть пропадет, и сессия остается болтатся...

подскажите решение?

dmivla
Гм, странно, не замечал таких ограничений.
А может так:

Код:
(config)#ip ssh time-out 120

а как посмотреть и удалить висящие сессии ssh ?

dmivla
Цитата:

а как посмотреть и удалить висящие сессии ssh ?

Посмотреть соединения можно командой sho tcp bri
Будет результат типа
TCB Local Address Foreign Address (state)
72130418 net1.sonik.ru.22 onclick.is174.ru.61843 ESTAB
.........................................
Удаляешь те, что висят на 22 порту командой
clear tcp tcb 72130418 (номер соответствующего TCB)

Или так:

gw#who
Line User Host(s) Idle Location
*514 vty 0 юзеримя idle 00:00:00 10.10.20.20

Interface User Mode Idle Peer Address

gw#clear line vty ?
<0-988> Line number

gw#clear line vty 0

Добавлено
И это вероятно пригодится, если еще не прописано:

Цитата:

If you don't have it setup already, you should consider adding an
exec-timeout to your VTY lines to clear idle sessions after x minutes.
To enable a 5 minute exec-timeout:

router(config-line)#exec-time 5 0

Adding a keepalive to should also clear up any hung sessions (with varying degrees of success):

router(config)#service tcp-keepalives-in

exec-time 5 0

вот, что мне нужно было спасибо большое

сам в програмировании Cisco слаб, просьба помочь:
требуется отключить два физических интерфейса из четырех, как показано на картинке.

DeathKnight Первые 4 порта - это по сути дела один четырехпортовый свитч, FastEthernet0-FastEthernet3, завязанный на Vlan1 (у 851 циски только один вилан).
Пятый - самостоятельный, FastEthernet4.

Код: Router1(config)# interface fastethernet 0
Router1(config-int)# no shutdown
Router1(config)# interface fastethernet 1
Router1(config-int)# no shutdown
Router1(config)# interface fastethernet 2
Router1(config-int)#shutdown
Router1(config)# interface fastethernet 3
Router1(config-int)#shutdown
Router1(config)# interface fastethernet 4
Router1(config-int)# no shutdown
Router1(config-int)# ip address 10.1.1.1 255.255.255.0
Router1(config-int)# exit
Router1(config)# interface vlan1
Router1(config-int)# no shutdown
Router1(config-int)# ip address 192.168.1.1 255.255.255.0
Router1(config-int)# exit

ага, получилось, спасибо большое!

Добрый день
Есть pix 501, работает как firewall и nat для локальной сети - натятся нектороые серые адреса в белый 200.0.0.5
Есть белые подсети 200.0.0.0/29 и 200.0.0.8/29
Понадобилось пробросить извне порт 3389 на адрес 10.0.0.2
не могу догнать что неправильно


Вот текущий конфиг:

...
nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet2 dmz security10
...
access-list aclOutside permit tcp any 200.0.0.0 255.255.255.248 eq 3389
...
ip address outside 200.0.0.2 255.255.255.248
ip address inside 10.0.0.1 255.255.255.0
ip address dmz 200.0.0.9 255.255.255.248
...
global (outside) 1 200.0.0.5 netmask 255.255.255.248
nat (inside) 1 10.0.0.5 255.255.255.255 0 0
nat (inside) 1 10.0.0.11 255.255.255.255 0 0
nat (inside) 1 10.0.0.58 255.255.255.255 0 0
...
static (inside,outside) tcp 200.0.0.2 3389 10.0.0.2 3389 netmask 255.255.255.255 0 0
access-group aclOutside in interface outside
access-group aclInside in interface inside

gbcfkf Не совсем в тему вопрос. Есть отдельная тема:
Настройка Cisco PIX Firewall / ASA

Уважаемые, подскажите пожалуйста на IOS на русском языке есть какое-то лицензионное соглашение или если оно у cisco одно на всё (оно?), то есть ли его перевод?

Alukardd Ну вот что написано в русской инструкции на роутер 1861:

Цитата:

В гарантии на ваше оборудование оговариваются специальные условия и различные сервисы, которыми можно воспользоваться
в течение срока действия гарантии. Ваше предыдущее гарантийное соглашения, включая все гарантии и лицензии, применимые
к программному обеспечению Cisco, доступны на веб-сайте Cisco.com. Выполните следующие действия для загрузки с веб-сайта
Cisco.com информационного пакета Cisco, а также гарантийного и лицензионного соглашения.
1. Откройте браузер и перейдите по следующему URL-адресу:
http://www.cisco.com/univercd/cc/td/doc/es_inpck/cetrans.htm
Будет отображена страница гарантийных и лицензионных соглашений.
2. Чтобы ознакомиться с информационным пакетом Cisco, выполните следующие действия.
a. Щелкните поле номера информационного пакета и убедитесь, что выделен номер по каталогу 78-5235-03A0.
b. Выберите язык для прочтения этого документа.
c. Щелкните пункт Go.
Будет отображена страница ограниченной гарантии и лицензии на ПО Cisco из информационного пакета.
d. Ознакомьтесь с документом в браузере или щелкните значок PDF для загрузки и печати документа в PDF-формате.
Примечание. Чтобы просматривать и печатать PDF-файлы вам потребуется приложение Adobe Acrobat Reader.
Можно загрузить это приложение с веб-сайта компании Adobe. http://www.adobe.com
3. Чтобы ознакомиться с переведенной и локализованной информацией по гарантии на продукт, выполните следующие
действия:
a. Введите этот номер по каталогу в поле Warranty Document Number (номер гарантийного документа):
78-10747-01C0.
b. Выберите язык для прочтения этого документа.
c. Щелкните пункт Go.
Будет отображена страница гарантии корпорации Cisco.
d. Ознакомьтесь с документом в браузере или щелкните значок PDF для загрузки и печати документа в PDF-формате.
Также можно связаться со службой поддержки Cisco или перейти на веб-сайт службы поддержки:
http://www.cisco.com/en/US/support/

Хотя я не совсем понимаю актуальность такого вопроса. Сама циска энд-юзерам ничего не продает, она действует через региональных дистрибьюторов. А у тех уже есть все: и переведенное лицензионное соглашение, и сертификаты минсвязи, минздрава и ФСБ.

vlary
Если честно меня интересовал вопрос интеллектуальной собственности cisco. А именно может ли какой-нить %company% наклепать своё оборудование, а синтаксис команд (включая имена, уровни и справку) скопировать у cisco? (ну и при таком раскладе, реализуют работу команд они тоже сами)
Ну и есть ли разница где эта компания продает и зарегистрирована (США, Россия)?

Alukardd
Цитата:

А именно может ли какой-нить %company% наклепать своё оборудование, а синтаксис команд (включая имена, уровни и справку) скопировать у cisco?

Ну, хороший пример здесь - компания Huawei, понятно чья. Выпускала роутеры на базе софта, дратого с IOS.

Цитата:

В частности, в 2003 году суд штата Техас (США) принял к производству иск компании Cisco Systems, ответчиками по которому выступали Huawei Technologies и 3COM. В исковом заявлении утверждалось, что операционная система VRP и документация к маршрутизаторам Quidway прямо скопирована с исходных текстов принадлежащих Cisco Systems. В заявлении были представлены доказательства, включающие идентичные образцы кода, идентичные имена процедур и дефекты, аналогичные операционной системе Cisco IOS. Этот иск был урегулирован во внесудебном порядке

.
Особенно меня умиляет это: дефекты, аналогичные операционной системе Cisco IOS.

vlary
:rofl:
Спасибо за пример, но он не ответил на мой вопрос((( Так сказать внесудебный порядок не обнародован...
К тому же суд в США, а что насчет России?

Alukardd
Цитата:

Так сказать внесудебный порядок не обнародован...

Ну почему же? Ссылка

Цитата:

К тому же суд в США, а что насчет России?

Ну, мы же вроде как вступаем в ВТО. Ну а потом, даже если допустить, что этими железками можно будет торговать в России, в законопослушные страны с ними уже не сунешься. Да и в России могут возникнуть проблемы, если циска обидится. Вон мелкософту же удаются нападки по поводу нелицензионного софта.

vlary
Ок, спасибо - а что тогда по поводу этого вопроса в симуляторах? GNS3, NetSim и др... (о PacketTracer понятное дело молчим) Как у них этот вопрос решён?

Alukardd
Цитата:

Ок, спасибо - а что тогда по поводу этого вопроса в симуляторах?

Ну, по поводу GNS3/Dynagen/Dynamips/NetSim тут как раз все понятно. Они же не включают IOS в свой дистрибутив, а только дают список совместимых IOS, типа, мы подразумеваем, что у вас имеется легально приобретенный софт, который вы можете использовать. Да и положению Циски на рынке применение всех этих эмуляторов/симуляторов никак не угрожает, скорее наоборот. Потренируется человек "на кошечках", глядишь, купит настоящую железку.
Предлагаю на сим завершить, поскольку вопрос, конечно, интересный, но с данной темой связан мало.

Подскажите, пожалуйста, как в циске сделать так, что бы у нее не было открытых портов со стороны WAN интерфейса?
Я так понимаю у меня открыто 2 порта на всех интерфейсах:
#show control-plane host open-ports
Active internet connections (servers and established)
Prot Local Address Foreign Address Service State
tcp *:23 *:0 Telnet LISTEN
udp *:67 *:0 DHCPD Receive LISTEN

yukkko Важно не то, что порты открыты, а то, что они не закрыты акцесс-листами.
Все закрывать нельзя, иначе циска вообще потеряет смысл. А ведь она для чего-то нужна.
Но уж телнет закрыть надо обязательно.
Пример:

Код: interface GigabitEthernet0/0
ip address 21.21.21.14 255.255.255.0
ip access-group 100 in
.......
access-list 100 permit ip 21.21.21.0 0.0.0.255 ;разрешить доступ из своей сети
access-list 100 permit tcp any any eq 22 ; разрешить доступ по SSH
access-list 100 permit udp any eq domain any ; разрешить ДНС
access-list 100 permit udp any any eq domain ; -"-
access-list 100 permit tcp any any gt 1024 established ;разрешить установленные соединения
access-list 100 permit tcp any 21.21.21.100 eq www ; разрешить доступ к местному веб-серверу
access-list 100 permit icmp any any echo
access-list 100 permit icmp any any echo-reply
access-list 100 permit icmp any any source-quench
access-list 100 permit icmp any any unreachable
access-list 100 permit icmp any any time-exceeded
access-list 100 deny ip any any ; запретить все остальное.

vlary большое спасибо за хороший пример ACL. В дефолтных конфигах циски такого не прочитаешь=)
Думал, что можно, по аналогии с UNIXом снять сервисы с прослушки внешних портов. Нет открытых сокетов - незачем и фаервол настраивать. Не тратится процессорное время на анализ левых пакетов. Зачем мне, закрытый фаерволом, DHCPd на WAN порте роутера? Странно.

yukkko
Цитата:

Нет открытых сокетов - незачем и фаервол настраивать

Ты забываешь, что циска - это не комп, а роутер. И она переправляет пакеты извне в свою сеть, и наоборот. Допустим, на циске в помине нет порта 1443 (MSSQL Server), но он, скажем, есть на 21.21.21.100, и если этот порт не закрыть ACL, он будет доступен снаружи со всеми вытекающими последствиями.

vlary

Цитата:

Ты забываешь, что циска - это не комп, а роутер. И она переправляет пакеты извне в свою сеть, и наоборот.

Забыл уточнить, что этот раутер - дэфолт гейтвей для сети и на нем работает NAT. Правильно ли я понимаю, что NAT надежно защищает внутреннюю сеть от внешних атак? И если мне не нужны никакие сервисы со стороны WAN, то я могу заблокировать открытые порты ACL (или можно заблокировать все, кроме NAT выхода и esteblished?)

yukkko
Цитата:

Правильно ли я понимаю, что NAT надежно защищает внутреннюю сеть от внешних атак?

Ну, в принципе можно считать и так. Если циска служит исключительно как НАТ для локалки и имеется всего один внешний айпи, нужно только прикрыть доступ по телнету на циску через этот айпи. Можно это сделать через акцесс-листы, а можно просто отключить телнет как сервис, оставив только SSH.
Для более полного понимания секурности НАТ, полезно почитать это: Ссылка

Цитата:

Для более полного понимания секурности НАТ, полезно почитать это: Ссылка

Интересная идея по поводу нескольких NATов (сам вряд ли бы додумался - стереотип использовать веши только по прямому назначению). Но в статье нет анализа - на сколько сложно пройти за NAT снаружи, встроившись в TCP сессию, или каким то другим методом.
По настройке ACL топчусь по малу=)
Сейчас так:
NAT ACL:
Standard IP access list 7
10 permit 10.10.10.0, wildcard bits 0.0.0.255

Inbound ACL from LAN side: ; не смог включить, потому, что перестает работать DHCP
Extended IP access list 100
10 deny tcp any any eq smtp
20 permit ip 10.10.10.0 0.0.0.255 any
30 permit tcp any any gt 1023 established

Inbound ACL from WAN side:
Extended IP access list 101
10 deny tcp any any eq telnet
20 deny tcp any any eq 67
30 deny ip 192.168.0.0 0.0.255.255 any
40 deny ip 10.0.0.0 0.255.255.255 any
50 deny ip 172.16.0.0 0.15.255.255 any
60 permit ip any any
; это работает, но NMAP из интернета показывает 9 открытых UDP портов выше 1024..

yukkko

Цитата:

30 permit tcp any any gt 1023 established

Это совершенно лишнее.

Цитата:

но NMAP из интернета показывает 9 открытых UDP портов выше 1024

Ну а как иначе? Хосты изнутри отправляют UDP пакеты, хотя бы ДНС запросы, соответственно их порты транслируются на внешний интерфейс.
Кстати, посмотреть, кто что открывает, можно командой
show ip nat tran

Цитата:

Ну а как иначе? Хосты изнутри отправляют UDP пакеты, хотя бы ДНС запросы, соответственно их порты транслируются на внешний интерфейс.
Кстати, посмотреть, кто что открывает, можно командой  
show ip nat tran

Можно предположить, что сканер должен был показать,что они закрыты. Ведь порт тестируется на открытость попытокой на него соедниться. С какого фига маршрутизатор на конкретном порту будет слать с него пакетик на какой-то левый IP, он ведь ожидает на этом порту пакет только с того IP адреса, который в NAT translation table.


интересно, как он проверяет это. Выходит, что циска ему отвечает, а зачем спрашивается?