Forum Cisco-BR

Simulados, simuladores, apostilas, forum brasileiro
 
InícioInício  CalendárioCalendário  FAQFAQ  BuscarBuscar  Registrar-seRegistrar-se  MembrosMembros  GruposGrupos  LoginLogin  
Buscar
 
 

Resultados por:
 
Rechercher Busca avançada
Últimos assuntos
» Preparatório CCNA R&S
Ter Abr 05, 2016 2:10 pm por Sávio Augusto

» Problema roteamento
Ter Mar 22, 2016 5:51 pm por joaormv

» Avaliação do curso de suporte a redes do SENAI
Ter Mar 22, 2016 4:55 pm por joaormv

» Relatório syslog
Ter Mar 22, 2016 4:51 pm por joaormv

» DDNS NO-IP CISCO 1905
Sex Mar 11, 2016 10:23 pm por diegofrancaa

» Air Point Cisco 1041 ACESSAR
Sex Mar 11, 2016 10:08 pm por diegofrancaa

» Luz Power Piscando Direto
Seg Set 28, 2015 1:17 pm por AndreH

» Modem: TP-LINK8816 com roteador Linksys WRT54g: Problema
Sex Set 11, 2015 2:49 pm por lepokoloko

» VIRTUAL SWITCHING SYSTEM - VSS 1440
Ter Set 08, 2015 8:45 am por wstaenle

Navegação
 Portal
 Índice
 Membros
 Perfil
 FAQ
 Buscar
Fórum
Parceiros

Compartilhe | 
 

 Acl

Ver o tópico anterior Ver o tópico seguinte Ir em baixo 
AutorMensagem
wstaenle
Associate


Número de Mensagens : 30
Reputação : 0
Pontos : 47
Data de inscrição : 26/09/2007

MensagemAssunto: Acl   Ter Ago 04, 2009 7:12 pm

Prezados !

Alguem pode me ajudar a bloquear possiveis virus que utilizam porta 445 , de acordo com monitoramento vejo que essas requisiçoes estão acabando com meu roteador , processamente de quase 100 %
Voltar ao Topo Ir em baixo
Ver perfil do usuário
Joester.Brondani
Specialist


Número de Mensagens : 106
Idade : 33
Localização : Rio Grande do Sul TCHE
Reputação : 6
Pontos : 121
Data de inscrição : 19/06/2009

MensagemAssunto: Re: Acl   Ter Ago 04, 2009 9:47 pm

Via access-list nao seria o modo mais viavel.

Outra: Teu router ta com o IP CEF ativo? isso reduz o processamento drasticamente...

Enfim, vamos a config: (via class-map +policy)

*vai depender do ios do teu router pra que funcione*

ena
conf t
class-map match-any virus-threat
match access-group name virus
exi
ip access-list extended virus
deny udp any any eq 445
deny tcp any any eq 445
deny udp any eq 445 any
deny tcp any eq 445 any
permit ip any any

!

policy-map virus
class virus
drop
class class-default
fair-queue

!

int serial 0/0
service-policy output virus
service-policy input virus

!

OUUUUUUUUUUU



podes xamar diretamente a access na interface... mas pessoalmente eu prefiro dessa forma q te descrevi.



da forma padrao ficaria

int s 0/0
ip access-group virus in

int f 0/0
ip access-group virus in



abraço.

_________________
Joéster
Voltar ao Topo Ir em baixo
Ver perfil do usuário
Joester.Brondani
Specialist


Número de Mensagens : 106
Idade : 33
Localização : Rio Grande do Sul TCHE
Reputação : 6
Pontos : 121
Data de inscrição : 19/06/2009

MensagemAssunto: Re: Acl   Ter Ago 04, 2009 9:52 pm

ehuehu esta porqueira ficou duplicada pq alterei o final na aplicaçao da access...

mais correto ficaria da ultima forma, aplicando a access somente da forma IN tanto na serial quanto na FAST.


abraco.

_________________
Joéster
Voltar ao Topo Ir em baixo
Ver perfil do usuário
Joester.Brondani
Specialist


Número de Mensagens : 106
Idade : 33
Localização : Rio Grande do Sul TCHE
Reputação : 6
Pontos : 121
Data de inscrição : 19/06/2009

MensagemAssunto: Re: Acl   Ter Ago 04, 2009 10:02 pm

a proposito, sobre a porta 445 :

ela eh é do SMB (Server Message Block), que serve para compartilhamento de arquivos. depois do Windows 2000, a Microsoft trocou as portas TCP 139 e UDP 137-138, fazendo o SMB trafegar direto em cima do TCP/IP, pela 445. Ela eh obrigatoria na intranet, porem na saída para Internet , deve ser fechada, tanto inbound quanto outbound.
E corrigindo minha access acima, essa porta eh somente TCP entao pode remover o udp...


abracitos!

_________________
Joéster
Voltar ao Topo Ir em baixo
Ver perfil do usuário
wstaenle
Associate


Número de Mensagens : 30
Reputação : 0
Pontos : 47
Data de inscrição : 26/09/2007

MensagemAssunto: Re: Acl   Seg Ago 10, 2009 8:49 am

Infelizmente meu router não tem suporte a CEF , porem sua orientacao ajudou muito . SO tenho uma duvida pq a Acl não é efetiva neste caso ?
Voltar ao Topo Ir em baixo
Ver perfil do usuário
Joester.Brondani
Specialist


Número de Mensagens : 106
Idade : 33
Localização : Rio Grande do Sul TCHE
Reputação : 6
Pontos : 121
Data de inscrição : 19/06/2009

MensagemAssunto: Re: Acl   Seg Ago 10, 2009 8:52 am

nao que nao seja efetiva, só acho q o alogaritmo utilizado pela class é mais eficiente mas enfim, isso eu axo q é até meio pessoal
heuheu

abraço

_________________
Joéster
Voltar ao Topo Ir em baixo
Ver perfil do usuário
wstaenle
Associate


Número de Mensagens : 30
Reputação : 0
Pontos : 47
Data de inscrição : 26/09/2007

MensagemAssunto: Re: Acl   Ter Ago 11, 2009 2:28 pm

Eu fiz um acl dessa forma para outro caso :
------
ip access-list extended LISTA_DE_ACESSO
permit tcp 10.10.10.0 0.0.0.255 any eq telnet
deny tcp any any eq telnet
permit ip any any

----------

Quero limitar acesso via Telnet somente da minha rede e ninguem mais , porem trata-se de uma Swicth Layer 3 com 24 portas e diversas vlans
Voltar ao Topo Ir em baixo
Ver perfil do usuário
wstaenle
Associate


Número de Mensagens : 30
Reputação : 0
Pontos : 47
Data de inscrição : 26/09/2007

MensagemAssunto: Re: Acl   Ter Ago 11, 2009 2:30 pm

Por isso sugiu a duvida , tenho que inserir o comando ip access-group LISTA_DE_ACESSO in em todas as interfaces ? Ha outra forma
Voltar ao Topo Ir em baixo
Ver perfil do usuário
Nakano
Admin


Número de Mensagens : 467
Idade : 34
Localização : São Paulo
Reputação : 43
Pontos : 336
Data de inscrição : 21/07/2007

MensagemAssunto: Re: Acl   Ter Ago 11, 2009 3:41 pm

O unico jeito que eu conheço tbm é aplicando a ACL ou com QoS.

Aplicar em todas as interfaces? bom talvez sim, ou pode aplicar em todas de rede local, para dizer isso vc precisa analisar a topologia e o interesse de tráfego da rede.

_________________
CCNA / CCDA
Cisco Data Center AS Support Specialist;
Cisco Data Center Support for UC Specialist;
Cisco Routing and Switching Field Specialist;
Cisco Unified Fabric Technology Support Specialist;
Cisco Unified Computing Technology Support Specialist
Cisco Data Center Unified Computing Support Specialist;
Cisco Data Center Storage Networking Support Specialist;
Cisco Data Center Application Services Support Specialist;
Cisco Advanced Data Center Networking Infrastructure Support Specialist;
CCNP / CCIP / CCDP
ITILF v2 / ITILF v3
CCIE SP #34881
CCIE RS Written

-----------------------------------------

Mind Wide Open
Voltar ao Topo Ir em baixo
Ver perfil do usuário http://cisco.forumeiros.com
Conteúdo patrocinado




MensagemAssunto: Re: Acl   Hoje à(s) 11:08 pm

Voltar ao Topo Ir em baixo
 
Acl
Ver o tópico anterior Ver o tópico seguinte Voltar ao Topo 
Página 1 de 1

Permissão deste fórum:Você não pode responder aos tópicos neste fórum
Forum Cisco-BR :: Forum :: Suporte-
Ir para: