Иллюстрированный самоучитель по Secure Web
list 101 deny tcp any
access- list 101 deny tcp any any eq 256 log!
Блокирование сканирования Firewall-1
access-list 101 deny tcp any any eq 257 log!
Блокирование сканирования Firewall-1
access-list 101 deny tcp any any eq 258 log!
Блокирование сканирования Firewall-1
access-list 101 deny tcp any any eq 1080 log!
Блокирование сканирования Socks
access-list 101 deny tcp any any eq 1745 log!
Блокирование сканирования Winsock
Если вы заблокируете порты Checkpoint (256-258) на пограничных маршрутизаторах, то не сможете управлять брандмауэром по Internet. Администратор Cisco может без особых проблем применить вышеперечисленные правила. Нужно просто перейти в режим редактирования параметров и ввести по очереди предыдущие строки. После этого необходимо выйти из режима редактирования и ввести команду write, чтобы внесенные изменения были внесены в конфигурационный файл.
Кроме того, на всех маршрутизаторах в любом случае должно быть задано правило очистки (если они не препятствуют поступлению пакетов по умолчанию), которое имеет тот же смысл, что и приведенная ниже операция.
access-list 101 deny ip any any log!
Запрещение и регистрация любого пакета, удовлетворяющего приведенному списку ACL
Отслеживание маршрута
Более скрытый и изощренный метод поиска брандмауэров в сети заключается в использовании утилиты traceroute. Для поиска каждого сегмента пути к целевому узлу можно воспользоваться утилитой traceroute системы UNIX или аналогичной утилитой tracert.exe системы NT. Затем на основании полученной информации можно сделать некоторые логические предположения. В версии утилиты traceroute из системы Linux имеется параметр -I, при указании которого для поиска сегментов будут посылаться пакеты ICMP, а не UDP-пакеты, используемые по умолчанию.
[sm]$ traceroute -I 192.168.51.100
traceroute to 192.168.51.101 (192.168.51.100), 30 hops max, 40 byte
packets
1 attack-gw (192.168.50.21) 5.801 ms 5.105 ms 5.445 ms
2 gwl.smallisp.net (192.168.51.1)
3 gw2.smallisp.net (192.168.52.2)
13 hssi.bigisp.net (10.55.201.2)
