Доброго времени суток!Для Cisco3825 решил сменить порт SSH
#>conf t
ip ssh port 3333 rotary 1
line vty 0 15
rotary 1Тут вопросов нет, работает.
Теперь хочу закрыть tcp порт 22.
#>ip access-list extended port22dis
deny tcp any host x.x.x.x eq 22
permit ip any any
Применяю на нужном порту роутера:
int gi0/0.1
ip access-group port22dis inВот тут оказывается, что порт 22 не закрыт.
С удалённой машины:
nmap -sT x.x.x.xStarting Nmap 6.00 ( http://nmap.org ) at 2014-03-31 02:02 UTC
Nmap scan report for host-x-x-x-x.some.ru (x.x.x.x)
Host is up (0.0043s latency).
Not shown: 998 closed ports
PORT STATE SERVICE
22/tcp filtered sshПодскажите, где я делаю ошибку?
Или может быть есть тонкость какая-то?
> Вот тут оказывается, что порт 22 не закрыт.
> С удалённой машины:
> nmap -sT x.x.x.x
> Starting Nmap 6.00 ( http://nmap.org ) at 2014-03-31 02:02 UTC
> Nmap scan report for host-x-x-x-x.some.ru (x.x.x.x)
> Host is up (0.0043s latency).
> Not shown: 998 closed ports
> PORT STATE SERVICE
> 22/tcp filtered sshFiltered означает, что брандмауэр, фильтр, или что-то другое в сети блокирует порт, так что Nmap не может определить, является ли порт открытым или закрытым
Зачем закрывать порт, на котором ничего не слушается?
>[оверквотинг удален]
> С удалённой машины:
> nmap -sT x.x.x.x
> Starting Nmap 6.00 ( http://nmap.org ) at 2014-03-31 02:02 UTC
> Nmap scan report for host-x-x-x-x.some.ru (x.x.x.x)
> Host is up (0.0043s latency).
> Not shown: 998 closed ports
> PORT STATE SERVICE
> 22/tcp filtered ssh
> Подскажите, где я делаю ошибку?
> Или может быть есть тонкость какая-то?а на интерфейсе (gi0/0.1) включены ip unreachables? Мб роутер посылает вашему nmap-у icmp type 3? посмотрите траффик
>[оверквотинг удален]
>> Starting Nmap 6.00 ( http://nmap.org ) at 2014-03-31 02:02 UTC
>> Nmap scan report for host-x-x-x-x.some.ru (x.x.x.x)
>> Host is up (0.0043s latency).
>> Not shown: 998 closed ports
>> PORT STATE SERVICE
>> 22/tcp filtered ssh
>> Подскажите, где я делаю ошибку?
>> Или может быть есть тонкость какая-то?
> а на интерфейсе (gi0/0.1) включены ip unreachables? Мб роутер посылает вашему nmap-у
> icmp type 3? посмотрите траффикЕсли я попробую приконнектиться по ssh на 22 порт к роутеру - соединение проходит. То есть порт однозначно открыт не только nmap'у.
> Если я попробую приконнектиться по ssh на 22 порт к роутеру -
> соединение проходит. То есть порт однозначно открыт не только nmap'у.мб соединение проходит не со стороны интерфейса gi0/0.1?
>> Если я попробую приконнектиться по ssh на 22 порт к роутеру -
>> соединение проходит. То есть порт однозначно открыт не только nmap'у.
> мб соединение проходит не со стороны интерфейса gi0/0.1?Точно на нём.
Провёл экперимент, провайдеров у меня 3, и интерфейсов соответственно 3 повеис на них access-group - acl запрещающий коннект на 22 порт для всех 3-х. И коннектица с удалённой машины могу на все три IP. :(
> Точно на нём.
> Провёл экперимент, провайдеров у меня 3, и интерфейсов соответственно 3 повеис на
> них access-group - acl запрещающий коннект на 22 порт для всех
> 3-х. И коннектица с удалённой машины могу на все три IP.
> :(а ацл точно полностью приведен? прохладная какая-то история, что-то где-то недосказано
>> Точно на нём.
>> Провёл экперимент, провайдеров у меня 3, и интерфейсов соответственно 3 повеис на
>> них access-group - acl запрещающий коннект на 22 порт для всех
>> 3-х. И коннектица с удалённой машины могу на все три IP.
>> :(
> а ацл точно полностью приведен? прохладная какая-то история, что-то где-то недосказаноСейчас ACL выглядит вот так:
#>ip access-list extended port22dis
deny tcp any host x.x.x.x eq 22
deny tcp any host y.y.y.y eq 22
deny tcp any host z.z.z.z eq 22
permit ip any any
Я сам не могу понять почему это не работает....
>>> Точно на нём.
>>> Провёл экперимент, провайдеров у меня 3, и интерфейсов соответственно 3 повеис на
>>> них access-group - acl запрещающий коннект на 22 порт для всех
>>> 3-х. И коннектица с удалённой машины могу на все три IP.
>>> :(
>> а ацл точно полностью приведен? прохладная какая-то история, что-то где-то недосказано
> Сейчас ACL выглядит вот так:
> #>ip access-list extended port22disпо моему extended на tty нельзя применять
> deny tcp any host x.x.x.x eq 22
> deny tcp any host y.y.y.y eq 22
> deny tcp any host z.z.z.z eq 22
> permit ip any any
> Я сам не могу понять почему это не работает....
> по моему extended на tty нельзя применять
>> deny tcp any host x.x.x.x eq 22
>> deny tcp any host y.y.y.y eq 22
>> deny tcp any host z.z.z.z eq 22
>> permit ip any any
>> Я сам не могу понять почему это не работает....в первом сообщении ТС его на интерфейсе вешает
>> по моему extended на tty нельзя применять
>>> deny tcp any host x.x.x.x eq 22
>>> deny tcp any host y.y.y.y eq 22
>>> deny tcp any host z.z.z.z eq 22
>>> permit ip any any
>>> Я сам не могу понять почему это не работает....
> в первом сообщении ТС его на интерфейсе вешаетЭтот acl теперь указан как access-group на интерфейсах к каждому провайдеру.
а что за железка/софт?> Сейчас ACL выглядит вот так:
> #>ip access-list extended port22dis
> deny tcp any host x.x.x.x eq 22
> deny tcp any host y.y.y.y eq 22
> deny tcp any host z.z.z.z eq 22
> permit ip any any
> Я сам не могу понять почему это не работает....
> а что за железка/софт?
>> Сейчас ACL выглядит вот так:
>> #>ip access-list extended port22dis
>> deny tcp any host x.x.x.x eq 22
>> deny tcp any host y.y.y.y eq 22
>> deny tcp any host z.z.z.z eq 22
>> permit ip any any
>> Я сам не могу понять почему это не работает....Cisco 3825 ISR
Чудеса!
Железка простояла с новыми настройками 1,5 дня и наконец перестала пускать по ssh на 22 порту. Собственно удивляет скорость реакции на мою настройку.
Остаётся лишь один вопрос всем кто это читает: у вас такое было? Если да, то нашли ли вы причину и смогли ли исправить?
Может это важно: провайдеров у меня 3, нагрузки на момент вопроса - никакой, настроено BGP-соседство пока с одним провайдером (fullview).Заранее спасибо.
ТС.
> Чудеса!
> Железка простояла с новыми настройками 1,5 дня и наконец перестала пускать по
> ssh на 22 порту. Собственно удивляет скорость реакции на мою настройку.
> Остаётся лишь один вопрос всем кто это читает: у вас такое было?
> Если да, то нашли ли вы причину и смогли ли исправить?
> Может это важно: провайдеров у меня 3, нагрузки на момент вопроса -
> никакой, настроено BGP-соседство пока с одним провайдером (fullview).
> Заранее спасибо.
> ТС.Дома 1841 работает без всяких acl, порт закрылся не сразу (подробностей не помню).
Только что проделал то же самое на 2951, эффект тот же - ssh отвечает по двум портам. Reload на картину не влияет... Будем подождать...