Иллюстрированный самоучитель по Secure Web
         

list 101 deny tcp any



access- list 101 deny tcp any any eq 256 log!

Блокирование сканирования Firewall-1

access-list 101 deny tcp any any eq 257 log!

Блокирование сканирования Firewall-1

access-list 101 deny tcp any any eq 258 log!

Блокирование сканирования Firewall-1

access-list 101 deny tcp any any eq 1080 log!

Блокирование сканирования Socks

access-list 101 deny tcp any any eq 1745 log!

Блокирование сканирования Winsock

Если вы заблокируете порты Checkpoint (256-258) на пограничных маршрутизаторах, то не сможете управлять брандмауэром по Internet. Администратор Cisco может без особых проблем применить вышеперечисленные правила. Нужно просто перейти в режим редактирования параметров и ввести по очереди предыдущие строки. После этого необходимо выйти из режима редактирования и ввести команду write, чтобы внесенные изменения были внесены в конфигурационный файл.

Кроме того, на всех маршрутизаторах в любом случае должно быть задано правило очистки (если они не препятствуют поступлению пакетов по умолчанию), которое имеет тот же смысл, что и приведенная ниже операция.

access-list 101 deny ip any any log!
Запрещение и регистрация любого пакета, удовлетворяющего приведенному списку ACL

Отслеживание маршрута

Более скрытый и изощренный метод поиска брандмауэров в сети заключается в использовании утилиты traceroute. Для поиска каждого сегмента пути к целевому узлу можно воспользоваться утилитой traceroute системы UNIX или аналогичной утилитой tracert.exe системы NT. Затем на основании полученной информации можно сделать некоторые логические предположения. В версии утилиты traceroute из системы Linux имеется параметр -I, при указании которого для поиска сегментов будут посылаться пакеты ICMP, а не UDP-пакеты, используемые по умолчанию.

[sm]$ traceroute -I 192.168.51.100

traceroute to 192.168.51.101 (192.168.51.100), 30 hops max, 40 byte

packets

1 attack-gw (192.168.50.21) 5.801 ms 5.105 ms 5.445 ms

2 gwl.smallisp.net (192.168.51.1)

3 gw2.smallisp.net (192.168.52.2)

13 hssi.bigisp.net (10.55.201.2)

Содержание  Назад  Вперед