PDA

Επιστροφή στο Forum : Πως μπορώ να μπλοκάρω το msn κτλ με cisco 857w & 876



taxiarxos
19-06-08, 16:22
Καλησπέρα σε όλους

θέλω να κλείσω στην εταιρία που δουλεύω το msn όπως και κάποια P2P προγράμματα μέσα απο τον cisco 876 που έχουμε καθώς επίσης και σε έναν ακόμη cisco 857w

Οποιαδήποτε βοήθεια δεκτή.......

cprotopapas
21-06-08, 12:03
http://www.cisco.com/en/US/docs/ios/12_2/security/configuration/guide/scfacls.html

Enjoy

taxiarxos
21-06-08, 12:35
Σ ευχαριστώ για το link αλλά θα ήθελα κάτι πιο συγκεκριμένο μιας και είμαι guru στα cisco!!!!!

Τα access-lists που αναφέρει οτι πρέπει να να γίνουν "applying the access lists to interfaces" εννοεί ότι πρέπει να γίνουν apply στον dial?

Τι accesslist θα χρειαστώ;

IP
1-99, 1300-1999

Extended IP
100-199, 2000-2699

Μπορείς να μου πείς τον τρόπο που μπορώ να συντάξω τις εντολές;
π.χ.

access-list xxx deny tcp 192.168.1.1 port 1863 int dial0;

Κάπως έτσι υποθέτω ότι είναι η σύνταξή της....

Ευχαριστώ

Lagman
23-06-08, 11:28
Εννοεί ότι μπορείς να εφαρμόσεις τις access list σε οποίο interface θέλεις .Έχεις κάποια vlan σωστά ; σωστά , μπορείς να εφαρμόσεις μια access-list σε κάποιο vlan πχ την λίστα 100 για εισερχόμενη κίνηση .

interface Vlan1
ip address 10.10.10.1 255.255.255.0
ip access-group 100 in
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1412
!

Λογικά θα χρειαστείς Extended IP 100-199


Τώρα πως και τι θα έχει η access-list είναι άλλη ιστορία , βρες κανένα e-book για cisco να δεις . και στο google να ψάξεις για access-list θα βρεις υλικό να διαβάσεις...
Αυτά που θες να κόψεις μαθέ πρωτόκολλο που χρησιμοποιούν και πόρτες .

Θέλει διάβασμα δεν θυμάμαι και δεν έχω να δοκιμάσω σπίτι (προς το παρόν)

Αν λέω κάτι λάθος να με διορθώσουνε τα παιδιά .

taxiarxos
23-06-08, 16:50
Σ ευχαριστώ πολύ.....

Σχετικά με τον 877 έχω τo int vlan1 & για τον 857w έχω το int bvi1 το οποίο είναι σε bridge mode (eth - wireless).....

Σχετικά με τα Ports το MSN χρησιμοποίει την 1863 όπως και την 80 παράλληλα από όσο έχω ψάξει...τα υπόλοιπα είναι σχετικά ποιό απλά γιατί δουλεύουν σε standard πόρτες...

Θα ψάξω για τις εντολές κ παράλληλα μιλάμε....

Όποιος διάθεση για βοήθεια παρακαλείτε να βοηθήσει ....

........Auto merged post: taxiarxos πρόσθεσε 53 λεπτά και 9 δευτερόλεπτα αργότερα ........

Τελικά βρήκα αυτό το οποίο πιστέυω να με βοηθήσει

http://http://www.avici.com/documentation/HTMLDocs/02223-09_revAA/Routing_Pol7.html#1126504

Αυτό που παρατήρισα μέσα στο config του cisco είναι ότι εχει δημιουργήσει κάποια access list τα οποία δημιουργήθηκαν μέσω SDM όταν είχα ασχοληθεί με το firewall υπάρχει κάποιος τρόπος να τα σβύσω χωρίς να κάνω επαναφορά στις εργοστασιακές ρυθμίσεις????


Ευχαριστώ........

karavagos
24-06-08, 02:09
You'll have to match on acls + create some nbar rules with match on url/http header for msn traffic on port 80.
msn is a little bit difficult to be blocked completely, especially without using a signature based approach.

taxiarxos
26-06-08, 09:44
Σ ευχαριστώ για την βοήθεια αλλά ο δικός μου ο cisco δεν υποστηρίζει ΝΒΑR....

Παρόλλα αυτά έφτιαξα ένα access-list 101 :

acceess-list 101 deny tcp any any eq 1863

Και δοκίμασα και το έβαλα στο BVI1 στο in με

ip access-group 101 in και με έκοβε τα πάντα στην συνέχεια το έβαλα στο out
αλλά επίσης μια από τα ίδια......

Ξέρω ότι στο τέλος θα πρέπει να βάλω μια γραμμή ακόμη του στιλ

permit any any

αλλά δεν ξέρω ακριβώς το πως συντάσετε......

Μήπως χρειάζετε να κάνω extended access-list?

Ευχαριστώ

karavagos
26-06-08, 15:01
...
acceess-list 101 deny tcp any any eq 1863
...
acceess-list 101 permit ip any any


PS: nbar is supported on many routers, but you have to enable cef first.

taxiarxos
26-06-08, 21:57
Το δοκιμασα αυτο το conf αλλα δεν καταφερα να κανω block το msn καμια αλλη ιδεα?

το δικο μou ios ειναι advancesecurity οχι advanceipservices και νομιζω οτι δεν το υποστηριζει
αν ξερεις πως μπορω να το κανω enable πες μου....

thx for all!!!!!

taxiarxos
03-07-08, 13:21
Καμιά Βοήθεια ρε παιδια;;;;;;;;;;

nsek
13-07-08, 17:30
Mήπως έχεις SDM; Aν ναι, τότε Configure > Firewall and ACL > Application security > Instant messaging > block msn

taxiarxos
14-07-08, 09:34
Σ ευχαριστώ για την βοήθεια αλλά δεν το δουλεύω καθόλου το SDM.

Είχα δοκιμάσει παλαιότερα να σετάρω το firewall μέσα από το SDM και μου είχε γράψει καμιά 30για σειρές μέσα στο IOS χωρίς να δω αποτέλεσμα.........

D_J_V
14-07-08, 10:17
απο τη στιγμή που το MSN παίζει ΚΑΙ με την 80 το βλέπω δύσκολο να το κόψεις γιατί ΝΟΜΙΖΩ οτι να κόψεις την 80 τότε δε θα μπορείτε να κάνετε καθόλου browsing... ακόμα και proxy να βάλεις πάλι βάζοντας τα στοιχεία του στο MSN θα περάσει...
Μη ξεχνάς επίσης πως υπάρχουν και πάρα πολλές ιστοσελίδες που μπορείς να μπείς στο MSN μέχρι και official web interface της Microsoft...
Αλήθεια τι σε πειράζει το MSN? Να μη τσατάρει ο κόσμος? Μήπως γινόμαστε υπερβολικοί?
Αν θέλουν και ξέρουν θα βρούνε τρόπο...

taxiarxos
17-07-08, 23:40
Ok παιδιά σας ευχαριστώ όλους........

τελικά έβγαλα άκρη έκλεισα το msn στο δίκτυο όπως επίσης και τις ip από τα online sites τα οποία αναφέρθηκαν σχετικά με instant msg......

Ευχαριστώ

Reb0rn
19-07-08, 03:31
προσωπικα δεν θα εκοβα port ( το μεσο ) αλλα θα προσπαθουσα να κανω block την ip ( target ) του σερβερ που δεν θελω να συνδεεται ο αλλος.

αυτο το εχω σαν αρχη για 2 λογους.

1 στην περιπτωση μας ( msn ) εχει βγαλει η microsoft και webmessenger . οποτε οτι και να κανεις αν καποιος ξερει τι παιζεται θα μπορεσει να συνδεθει.

2. μεσω tunneling οι πορτες που εχεις κανει block παρακαπτωντε

drf
19-07-08, 10:18
λόγω του ότι υπάρχουν και τρίτα sites που μπορείς να κάνεις Login αρχίζεις και κόβεις και sites ¨οπως καθώς και τους Login msn servers λίγο ψάξιμο θέλει η δουλειά γίνεται.. :cool:

taxiarxos
20-07-08, 17:44
Ευχαριστώ για τις συμβουλές και εγώ έτσι το έκοψα και παίζει μια χαρά το block......

Μπορείς να μου πείς μήπως πως μπορώ να κάνω block limewire κλτ P2P.......????

Ευχαριστώ......

oidarvt
20-07-08, 18:08
Μπορειτε να μπλοκάρετε οποια σελίδα θέλετε χρησιμοποιώντας το αρχειο
c:\windows\system32\drivers\etc\hosts.

σ' αυτο το αρχειο αν βάλετε γραμμές του τύπου:

127.0.0.1 ταδειστοσελιδα.com

θα μπλοκάρεται η www.ταδειστοσελιδα.com

euri
20-07-08, 18:19
Υπάρχει πάντα και η άλλη λύση, πολύ πιο ριζική :twisted:

Κόβεις τα πάντα και επιτρέπεις μόνο επιλεγμένες θύρες :whistle:

taxiarxos
20-07-08, 18:23
Ευχαριστώ ρε παιδιά αλλά δν θέλω να κλειδώσω sites αλλά P2P... services.......

Καμια ιδέα????

euri
20-07-08, 18:59
Ψάξε λίγο το θέμα με το nbar. Δεν ξέρω τι CPU load θα σηκώσουν οι 800ρηδες με το nbar ενεργοποιημένο...

http://www.cisco.com/en/US/docs/ios/12_4/qos/configuration/guide/hdtnbara.html

και

http://www.adslgr.com/forum/showthread.php?t=181970

taxiarxos
20-07-08, 19:32
Δεν υποστηρίζει το δικό μου IOS NBAR έχεις τπτ υπόψιν σου με ACLs μήπως γίνεται??????

Έχεις κανενα link για advanceipservices IOS για 857w?

thx..........

taxiarxos
22-07-08, 22:23
Τελικά δοκίμασα να χρησιμοποιήσω την συμβουλή σου.......
Αλλα τσούκου όταν δοκίμασα να κόψω τα πάντα πλιν του http & https δεν είχα internet καθόλου καμιά ιδέα????????

ip access-list extended block_traffic
access-list 101 permit tcp any any eq 80
access-list 101 permit tcp any any eq 445
deny ip any any

και στην συνέχεια δοκίμασα και το έβαλα στον dial0 στο εξ. int δηλ. στο out

ip access-group block_traffic out

αλλά τπτ καμιά βοήθεια??????????? :sorry:

Ευχαριστώ..............

euri
22-07-08, 23:34
Να το βάλεις στο Vlan ;)

taxiarxos
23-07-08, 10:09
Σ ευχαριστώ πολύ φίλε θα το δοκιμάσω και θα σου πώ.....

Χρειάζετε να κάνω κάποια αλλαγή στα ACLs?

Στον VLAN στο in ή στο out ???

Βασικά ο δικός μου έχει BVI οπότε εκεί πιστέυω ότι πρέπει να μπεί ...........

Ευχαριστώ πολύ..........:)

euri
23-07-08, 11:32
Στο in βάλτο, έτσι ώστε τα "προς κόψιμο" πακέτα να μην περνάνε μέσα.

taxiarxos
23-07-08, 13:12
Το δοκίμασα στο in στο BVI αλλά μου κόβει τα πάντα..........

καμιά άλλη ιδέα...........??????????:worthy:


Μήπως πρέπει να πειράξω τα default ACL του SDM?????

logging trap debugging
access-list 1 remark INSIDE_IF=BVI1
access-list 1 remark SDM_ACL Category=2
access-list 1 permit 192.168.1.0 0.0.0.255
access-list 100 remark SDM_ACL Category=128
access-list 100 permit ip host 255.255.255.255 any
access-list 100 permit ip 127.0.0.0 0.255.255.255 any
dialer-list 1 protocol ip permit


????????

taxiarxos
24-07-08, 11:07
Αυτό που μπόρεσα και βρήκα είναι όταν κάνεις enable το firewall απο το SDM πάει κ γράφει τα παρακάτω :


SDM FIREWALL SETTINGS



ip inspect DEFAULT100 out - ston dial0
ip access-group 100 in - sto vlan1

logging trap debugging
access-list 1 remark INSIDE_IF=Vlan1
access-list 1 remark SDM_ACL Category=2
access-list 1 permit 192.168.2.0 0.0.0.255

Auta ta steinei gia to VLAN1

access-list 100 remark auto generated by Cisco SDM Express firewall configuration
access-list 100 remark SDM_ACL Category=1
access-list 100 deny ip host 255.255.255.255 any
access-list 100 deny ip 127.0.0.0 0.255.255.255 any
access-list 100 permit ip any any


Auta ta steinei gia ton dial0

access-list 101 remark auto generated by Cisco SDM Express firewall configuration
access-list 101 remark SDM_ACL Category=1
access-list 101 permit tcp any any eq 3389
access-list 101 permit tcp any any eq telnet
access-list 101 permit tcp any any eq www
access-list 101 deny ip 192.168.2.0 0.0.0.255 any
access-list 101 permit icmp any any echo-reply
access-list 101 permit icmp any any time-exceeded
access-list 101 permit icmp any any unreachable
access-list 101 deny ip 10.0.0.0 0.255.255.255 any
access-list 101 deny ip 172.16.0.0 0.15.255.255 any
access-list 101 deny ip 192.168.0.0 0.0.255.255 any
access-list 101 deny ip 127.0.0.0 0.255.255.255 any
access-list 101 deny ip host 255.255.255.255 any
access-list 101 deny ip host 0.0.0.0 any
access-list 101 deny ip any any
dialer-list 1 protocol ip permit
no cdp run



ip inspect name DEFAULT100 cuseeme
ip inspect name DEFAULT100 ftp
ip inspect name DEFAULT100 h323
ip inspect name DEFAULT100 icmp
ip inspect name DEFAULT100 netshow
ip inspect name DEFAULT100 rcmd
ip inspect name DEFAULT100 realaudio
ip inspect name DEFAULT100 rtsp
ip inspect name DEFAULT100 esmtp
ip inspect name DEFAULT100 sqlnet
ip inspect name DEFAULT100 streamworks
ip inspect name DEFAULT100 tftp
ip inspect name DEFAULT100 tcp
ip inspect name DEFAULT100 udp
ip inspect name DEFAULT100 vdolive


Οποιαδήποτε βοήθεια δεκτή............

Ευχαριστώ;)

taxiarxos
24-07-08, 20:26
Έβγαλα τελικά άκρη όλα καλά........

Σας ευχαριστώ όλους..........

:)

euri
24-07-08, 20:51
Για πες τελικά τι και πώς.

@ ADSLgr.com All rights reserved.