Forum Cisco-BR

Simulados, simuladores, apostilas, forum brasileiro
 
InícioInício  CalendárioCalendário  FAQFAQ  BuscarBuscar  Registrar-seRegistrar-se  MembrosMembros  GruposGrupos  LoginLogin  
Buscar
 
 

Resultados por:
 
Rechercher Busca avançada
Últimos assuntos
» Preparatório CCNA R&S
Ter Abr 05, 2016 2:10 pm por Sávio Augusto

» Problema roteamento
Ter Mar 22, 2016 5:51 pm por joaormv

» Avaliação do curso de suporte a redes do SENAI
Ter Mar 22, 2016 4:55 pm por joaormv

» Relatório syslog
Ter Mar 22, 2016 4:51 pm por joaormv

» DDNS NO-IP CISCO 1905
Sex Mar 11, 2016 10:23 pm por diegofrancaa

» Air Point Cisco 1041 ACESSAR
Sex Mar 11, 2016 10:08 pm por diegofrancaa

» Luz Power Piscando Direto
Seg Set 28, 2015 1:17 pm por AndreH

» Modem: TP-LINK8816 com roteador Linksys WRT54g: Problema
Sex Set 11, 2015 2:49 pm por lepokoloko

» VIRTUAL SWITCHING SYSTEM - VSS 1440
Ter Set 08, 2015 8:45 am por wstaenle

Navegação
 Portal
 Índice
 Membros
 Perfil
 FAQ
 Buscar
Fórum
Parceiros

Compartilhe | 
 

 Acl de Deny nao funciona

Ver o tópico anterior Ver o tópico seguinte Ir em baixo 
AutorMensagem
pedrolima88



Número de Mensagens : 1
Idade : 28
Localização : Hell de Janeiro
Reputação : 0
Pontos : 6
Data de inscrição : 26/11/2011

MensagemAssunto: Acl de Deny nao funciona   Sex Jun 08, 2012 1:47 pm

Olá Srs. tudo bem?
primeiramente gostaria de deixar claro que meu conhecimento sobre ciso é bem básico, estou aprendendo com o que tenho em mãos de material e do que leio na internet, logo podemos dar boas risadas com algumas besteiras que posso dizer por aqui. rs



Bom vamos la,
possuou uma central uc560 que já está configurada por um "consultor cisco" que simplemsnete nao botou nenhuma acl. Imagina o dia que ele for consultor de firewall.. Enfim, mediante a este problema que o mesmo deixou acontecer estou tendo furto de voip pois o mesmo deixou o protoco cisco-sccp, porta 2000, aberto para wan. Logo diversos se conectavam nele e autenticavam na minha uc.

ja desabilitei o auto authentic, que deixava eles autenticarem telefones externamente e restringi apenas ao range da minha rede de voip.

Bom, gostaria de fechar algumas portas, que não tem a menor necessidade de estarem abertas, dentre elas a 2000, já que não tem motivo de ficar em listening para a wan.

Utilizei os comandos abaixo:

!
access-list 101 deny tcp any any eq 2000 log
access-list 101 deny tcp any any eq 6001 log
access-list 101 deny tcp any any eq 2002 log
access-list 101 deny tcp any any eq 9002 log
!

Mas mesmo assim a mesma continua aberta na wan, ela e mais outras 4.

Host is up (0.13s latency).
Not shown: 990 closed ports
PORT STATE SERVICE
22/tcp open ssh
53/tcp open domain
1720/tcp open H.323/Q.931
2000/tcp open cisco-sccp
2002/tcp open globe
4002/tcp open mlchat-proxy
5060/tcp open sip
5061/tcp open sip-tls
6002/tcp open X11:2
9002/tcp open dynamid

Nmap done: 1 IP address (1 host up) scanned in 9.73 seconds


Como disse no inicio, nao entendo muito de cisco, mas eu tenho 2 suspeitas.
1 que essa ACL esta segurando na ponta de alguma vlan interna, e nao na porta WAN.
2 }Pode haver alguma regra que sobreescreva essas acl ? Detalhe é que não há nenhuma outra acl nessa conf.

Alguma sugestao srs? Todas serao bem vindas.

Abcs cheers

Voltar ao Topo Ir em baixo
Ver perfil do usuário
Nakano
Admin


Número de Mensagens : 467
Idade : 34
Localização : São Paulo
Reputação : 43
Pontos : 336
Data de inscrição : 21/07/2007

MensagemAssunto: Re: Acl de Deny nao funciona   Dom Jun 17, 2012 9:04 pm

1 - Essas linhas estão no modo global, você precisa aplica-las em alguma interface para que façam alguma coisa

2 - Antes de aplicar configura um permit no final pois o deny é implicito, ou seja, se aplicar desse jeito vai parar toda a interface:

access-list 101 deny tcp any any eq 2000 log
access-list 101 deny tcp any any eq 6001 log
access-list 101 deny tcp any any eq 2002 log
access-list 101 deny tcp any any eq 9002 log
access-list 101 permit ip any any
!
interface x/x
ip access-group 101 in
ip access-group 101 out

3 - Ao invés de usar esse tipo de ACL, eu costumo usar esse outro tipo que me permite apagar e incluir linhas mais facilmente:


ip access-list extended PROTEGE
deny tcp any any eq 2000 log
deny tcp any any eq 6001 log
deny tcp any any eq 2002 log
deny tcp any any eq 9002 log
permit ip any any
!
interface x/x
ip access-group PROTEGE in
ip access-group PROTEGE out


[]´s

_________________
CCNA / CCDA
Cisco Data Center AS Support Specialist;
Cisco Data Center Support for UC Specialist;
Cisco Routing and Switching Field Specialist;
Cisco Unified Fabric Technology Support Specialist;
Cisco Unified Computing Technology Support Specialist
Cisco Data Center Unified Computing Support Specialist;
Cisco Data Center Storage Networking Support Specialist;
Cisco Data Center Application Services Support Specialist;
Cisco Advanced Data Center Networking Infrastructure Support Specialist;
CCNP / CCIP / CCDP
ITILF v2 / ITILF v3
CCIE SP #34881
CCIE RS Written

-----------------------------------------

Mind Wide Open
Voltar ao Topo Ir em baixo
Ver perfil do usuário http://cisco.forumeiros.com
 
Acl de Deny nao funciona
Ver o tópico anterior Ver o tópico seguinte Voltar ao Topo 
Página 1 de 1

Permissão deste fórum:Você não pode responder aos tópicos neste fórum
Forum Cisco-BR :: Forum :: Suporte-
Ir para: