- nilson escreveu:
- Bom dia a todos.
Passei por uma auditoria e fui informado que necessito fechar os serviços daytime porta 13/TCP e chargen 19/TCP no meu cisco 2500
Verificando o Help, Show e outros comandos, não consegui encontar aonde eu faço isso.
Alquem poderia me ajudar por favor.
Bom em uma interface você só pode aplicar 1 access list, então quando você deu o show conf, o access-list esta no modo global ou aplicado na interface?
Exemplo:
Interface Ethernet0
ip access-group X in
ip access-group X ou
Se não estiver aplicada na interface não tem problema.
O unico detalhe é que a access-list que você for criar não pode ter o mesmo numero da existente.
Duas observações muito importantes:
1 - Sempre coloque no final um permit ip any any, se não colocar o access-list irá bloquear todos os pacotes (access-list = implicito negar tudo)
2 - Sempre configure primeiro a access-list no modo global para depois aplica-la na interface, se você aplicar uma access-list na interface sem que ela exista no modo global, esta interface irá dropar todos os pacotes como se houvesse um deny any
3 - A access-list numerica possui uma pequena falha, não é possivel apagar apenas uma linha, portanto se for altera-la primeiro retire ela da interface.
Seguem dois exemplos, o primeiro com access-list numerica, a segunda nomeada (eu prefiro sempre a nomeada porque nela você pode apagar apenas 1 linha)
Numerica
#conf t
(config)#access-list 150 deny tcp any any eq daytime (daytime porta tcp/13 na porta de destino)
(config)#access-list 150 deny tcp any eq daytime any (daytime porta tcp/13 na porta de origem)
(config)#access-list 150 deny tcp any any eq chargen (chargen porta tcp/19 na porta de destino)
(config)#access-list 150 deny tcp any eq chargen any (chargen porta tcp/19 na porta de origem)
(config)#access-list 150 permit ip any any (permitir os demais pacotes)
(config)#Interface Ethernet0
(config-if)#ip access-group 150 in
(config-if)#ip access-group 150 out
(config-if)#end
#wr
ou
#conf t
(config)#access-list 150 deny tcp any any eq 13 (daytime porta tcp/13 na porta de destino)
(config)#access-list 150 deny tcp any eq 13 any (daytime porta tcp/13 na porta de origem)
(config)#access-list 150 deny tcp any any eq 19 (chargen porta tcp/19 na porta de destino)
(config)#access-list 150 deny tcp any eq 19 any (chargen porta tcp/19 na porta de origem)
(config)#access-list 150 permit ip any any (permitir os demais pacotes)
(config)#Interface Ethernet0
(config-if)#ip access-group 150 in
(config-if)#ip access-group 150 out
(config-if)#end
#wr
Nomeada
#conf t
(config)#ip access-list extended PROTEGE
(config-ext-nacl)#deny tcp any eq 13 any
(config-ext-nacl)#deny tcp any any eq 13
(config-ext-nacl)#deny tcp any eq 19 any
(config-ext-nacl)#deny tcp any any eq 19
(config)#Interface Ethernet0
(config-if)#ip access-group PROTEGE in
(config-if)#ip access-group PROTEGE out
(config-if)#end
#wr
ou
#conf t
(config)#ip access-list extended PROTEGE
(config-ext-nacl)#deny tcp any eq daytime any
(config-ext-nacl)#deny tcp any any eq daytime
(config-ext-nacl)#deny tcp any eq chargen any
(config-ext-nacl)#deny tcp any any eq chargen
(config)#Interface Ethernet0
(config-if)#ip access-group PROTEGE in
(config-if)#ip access-group PROTEGE out
(config-if)#end
#wr
Na verdade não há a necessidade do in e ou, já que você ja colocou as portas como origem e destino, mas para garntir pode aplicar de qualquer destes modos, não há problema nem impacto.
abs
Início 
Procurar 
Registrar 
Entrar 
Qua Nov 04, 2020 9:27 pm por ismaelmaldinni
Seja fã Forumeiros
Assunto: desabilitar serviço daytime e chargen (cisco 2500) 
