Хорошо

ACL закрыть сессию.

Опубликовано 2020-12-10 18:40:43Последний ответ дек 11, 2020 12:01:30 405 11 0 0 0
  Награжденные Форбаллы: 0 (Проблема решена)

Добрый день!

Подскажите пожалуйста, каким образом в acl нужно прописать правило, что бы на определенный ip полностью закрыть сессию? У меня есть устройство с белым адресом, у него icmp закрыт, acl написан, кто имеет право соединяться с ним. Но недавно начал просматривать на нем логи и увидел, что множественные попытки соединения с этим устройством, причем перебор портов 80, 443, 5223,10000 и т.д. 

Добавил в AR2220 в 3000 acl несколько правил следющего характера(для примера):


 rule 500 deny ip source 141.105.36.0 0.0.0.255 destination 62.х.х.221 0


но почему то оно не срабатывает, в сессиях есть попыптки взлома именно из этих сетей.

Что не так сделал?

  • x

Избранные ответы

Лучший ответ

Рекомендуемые ответы

dai_splav
HCIE MVE Опубликовано 2020-12-11 12:01:30
Доброго дня!
Я бы тут использовал стандартный ACL (2000) с формульровкой rule deny sour 141.105.36.0 0.0.0.255 с привязкой к входящиму интерфейсу, если у вас снифят сам AR.

Если снифят хост за AR, то вешайте traffic policy c расширенным ACL на интерфейс смотрящий в мир.

Ну и собственно третий вариан, использовать Firewall, там есть встроенный механизм защиты от атак и генирации blacklist. AR как то не для этих целей заточен.
Развернуть
  • x

artemrus38
artemrus38 Опубликовано 2020-12-12 18:23 (0) (0)
Добрый день! У меня как раз второй вариант и сделан. Согласен, что если бы был Firewall, проблем меньше было бы, но к сожалению его нет, по этому только ACL настраивать.  
dai_splav
dai_splav Ответить artemrus38  Опубликовано 2020-12-14 08:10 (0) (0)
Так у вас политика на интерфейсе висит или acl?  
artemrus38
artemrus38 Ответить dai_splav  Опубликовано 2020-12-14 21:18 (0) (0)
traffic-filter висит.  
dai_splav
dai_splav Ответить artemrus38  Опубликовано 2020-12-16 21:10 (0) (0)
Полисер попробуй.  
artemrus38
artemrus38 Ответить dai_splav  Опубликовано 2020-12-17 18:47 (0) (0)
А разве полисер не ограничивает скорость? А тут вроде доступ закрыть. Или я ошибаюсь?  
dai_splav
dai_splav Ответить artemrus38  Опубликовано 2020-12-18 09:02 (0) (0)
Шейпер ограничевает скорость. А полисиром с траффиком можно делать почти всё что захочешь: ограничивать полосу, перемаркировывать метки приоритета и т.д  
artemrus38
artemrus38 Ответить dai_splav  Опубликовано 2020-12-20 13:05 (0) (0)
Если не сложно и у Вас есть пример traffic-police для ограничения доступа, скиньте пожалуйста. Я уже подгоню под себя.  
dai_splav
dai_splav Ответить artemrus38  Опубликовано 2020-12-21 14:22 (0) (0)
И полисером и шейпером можно ограничить скорость. Тут пример хороший работы с полисером: https://support.huawei.com/enterprise/en/doc/EDOC1000120969/710c83f2/qos#EN-US_TASK_0244495884  
artemrus38
artemrus38 Ответить dai_splav  Опубликовано 2020-12-24 04:39 (0) (0)
Спасибо огромное! Буду пробовать.  
Все ответы
NikitamatveeV
NikitamatveeV Админ Опубликовано 2020-12-11 10:00:00
Добрый день!
Благодарим вас за вопрос. Мы уточняем данную информацию.
Если ответ нужен срочно, пожалуйста, обратитесь в TAC cissuport@huawei.com
Спасибо!
Развернуть
  • x

dai_splav
dai_splav HCIE MVE Опубликовано 2020-12-11 12:01:30
Доброго дня!
Я бы тут использовал стандартный ACL (2000) с формульровкой rule deny sour 141.105.36.0 0.0.0.255 с привязкой к входящиму интерфейсу, если у вас снифят сам AR.

Если снифят хост за AR, то вешайте traffic policy c расширенным ACL на интерфейс смотрящий в мир.

Ну и собственно третий вариан, использовать Firewall, там есть встроенный механизм защиты от атак и генирации blacklist. AR как то не для этих целей заточен.
Развернуть
  • x

artemrus38
artemrus38 Опубликовано 2020-12-12 18:23 (0) (0)
Добрый день! У меня как раз второй вариант и сделан. Согласен, что если бы был Firewall, проблем меньше было бы, но к сожалению его нет, по этому только ACL настраивать.  
dai_splav
dai_splav Ответить artemrus38  Опубликовано 2020-12-14 08:10 (0) (0)
Так у вас политика на интерфейсе висит или acl?  
artemrus38
artemrus38 Ответить dai_splav  Опубликовано 2020-12-14 21:18 (0) (0)
traffic-filter висит.  
dai_splav
dai_splav Ответить artemrus38  Опубликовано 2020-12-16 21:10 (0) (0)
Полисер попробуй.  
artemrus38
artemrus38 Ответить dai_splav  Опубликовано 2020-12-17 18:47 (0) (0)
А разве полисер не ограничивает скорость? А тут вроде доступ закрыть. Или я ошибаюсь?  
dai_splav
dai_splav Ответить artemrus38  Опубликовано 2020-12-18 09:02 (0) (0)
Шейпер ограничевает скорость. А полисиром с траффиком можно делать почти всё что захочешь: ограничивать полосу, перемаркировывать метки приоритета и т.д  
artemrus38
artemrus38 Ответить dai_splav  Опубликовано 2020-12-20 13:05 (0) (0)
Если не сложно и у Вас есть пример traffic-police для ограничения доступа, скиньте пожалуйста. Я уже подгоню под себя.  
dai_splav
dai_splav Ответить artemrus38  Опубликовано 2020-12-21 14:22 (0) (0)
И полисером и шейпером можно ограничить скорость. Тут пример хороший работы с полисером: https://support.huawei.com/enterprise/en/doc/EDOC1000120969/710c83f2/qos#EN-US_TASK_0244495884  
artemrus38
artemrus38 Ответить dai_splav  Опубликовано 2020-12-24 04:39 (0) (0)
Спасибо огромное! Буду пробовать.  

Комментарий

Выполните вход в систему, чтобы ответить на пост. Вход | Регистрация
Отправить

Внимание! В целях защиты правовых интересов Вас, сообщества и третьих лиц, не публикуйте любой материал, содержащий политические высказывания, порнографию, упоминание азартных игр, употребление наркотиков, а также материал, нарушающий коммерческую тайну или содержащий персональные данные пользователей. Также не предоставляйте данные от вашей учетной записи. Вы будете нести ответственность за все действия, выполняемые под вашим аккаунтом. Подробная информация: “Политика конфиденциальности..”

My Followers

Авторизуйтесь и пользуйтесь всеми преимуществами участника!

Вход

Заблокировать
Вы уверены, что хотите заблокировать этого пользователя?
Пользователи из вашего черного списка не могут комментировать ваши посты, не могут упоминать вас, не могут отправлять личные сообщения.
Напоминание
Пожалуйста, привяжите свой мобильный номер чтобы получить бонус за приглашение.