URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 17783
[ Назад ]

Исходное сообщение
"блокировка подсети интернета"

Отправлено tilk , 10-Дек-08 06:46 
Уважаемые товарищи специалисты!!!
Прошу вас помочь в решении проблемы: повадился один человек из кореи или китая забивать пакетами по порту 1720 нашу киску 2811. Подскажите пожалуйста как мне его заблокировать ? я знаю его адреса - это 124.217.250.129 и 124.217.253.30 Понятно что это подсеть какогото провайдера который раздает инет. но можно полностью сеть блокировать 124.217.0.0 Как это осуществить, прошу помощи товарищи. Я новичек в этом деле, буду рад примерному конфигу в данной теме.

Содержание

Сообщения в этом обсуждении
"блокировка подсети интернета"
Отправлено APach , 10-Дек-08 09:53 
>Уважаемые товарищи специалисты!!!
>Прошу вас помочь в решении проблемы: повадился один человек из кореи или
>китая забивать пакетами по порту 1720 нашу киску 2811. Подскажите пожалуйста
>как мне его заблокировать ? я знаю его адреса - это
>124.217.250.129 и 124.217.253.30 Понятно что это подсеть какогото провайдера который раздает
>инет. но можно полностью сеть блокировать 124.217.0.0 Как это осуществить, прошу
>помощи товарищи. Я новичек в этом деле, буду рад примерному конфигу
>в данной теме.

Примерно вот так:

access-list 1 deny 124.217.250.1 0.0.0.255
access-list 1 deny 124.217.253.1 0.0.0.255
access-list 1 permit any

int Ваш интерфейс
ip access-group 1 in



"блокировка подсети интернета"
Отправлено tilk , 10-Дек-08 13:59 
>[оверквотинг удален]
>>в данной теме.
>
>Примерно вот так:
>
>access-list 1 deny 124.217.250.1 0.0.0.255
>access-list 1 deny 124.217.253.1 0.0.0.255
>access-list 1 permit any
>
>int Ваш интерфейс
>ip access-group 1 in

спасибо, а если я адрес неправильно указал, как на киске выяснить с какого адреса идет посылка пакетов. какими средствами.



"блокировка подсети интернета"
Отправлено Figabra , 10-Дек-08 17:04 
>[оверквотинг удален]
>>
>>access-list 1 deny 124.217.250.1 0.0.0.255
>>access-list 1 deny 124.217.253.1 0.0.0.255
>>access-list 1 permit any
>>
>>int Ваш интерфейс
>>ip access-group 1 in
>
>спасибо, а если я адрес неправильно указал, как на киске выяснить с
>какого адреса идет посылка пакетов. какими средствами.

sh ip cache flow


"блокировка подсети интернета"
Отправлено Лемонов , 11-Дек-08 02:22 
>Уважаемые товарищи специалисты!!!
>Прошу вас помочь в решении проблемы: повадился один человек из кореи или
>китая забивать пакетами по порту 1720 нашу киску 2811. Подскажите пожалуйста
>как мне его заблокировать ? я знаю его адреса - это
>124.217.250.129 и 124.217.253.30 Понятно что это подсеть какогото провайдера который раздает
>инет. но можно полностью сеть блокировать 124.217.0.0 Как это осуществить, прошу
>помощи товарищи. Я новичек в этом деле, буду рад примерному конфигу
>в данной теме.

напишите провайдеру, зачем вашему маршрутизатору "отбрасывать" платный,ненужный/паразитный трафик?!


"блокировка подсети интернета"
Отправлено dslimp , 15-Дек-08 11:19 
>Уважаемые товарищи специалисты!!!
>Прошу вас помочь в решении проблемы: повадился один человек из кореи или
>китая забивать пакетами по порту 1720 нашу киску 2811. Подскажите пожалуйста
>как мне его заблокировать ? я знаю его адреса - это
>124.217.250.129 и 124.217.253.30 Понятно что это подсеть какогото провайдера который раздает
>инет. но можно полностью сеть блокировать 124.217.0.0 Как это осуществить, прошу
>помощи товарищи. Я новичек в этом деле, буду рад примерному конфигу
>в данной теме.

вообще, он не пытается забросать вас пакетами, а пытается через вашу циску пропустить телефонию. у меня сейчас то же с адреса 124.217.251.119


"блокировка подсети интернета"
Отправлено Аноним , 15-Дек-08 11:59 
>[оверквотинг удален]
>>Прошу вас помочь в решении проблемы: повадился один человек из кореи или
>>китая забивать пакетами по порту 1720 нашу киску 2811. Подскажите пожалуйста
>>как мне его заблокировать ? я знаю его адреса - это
>>124.217.250.129 и 124.217.253.30 Понятно что это подсеть какогото провайдера который раздает
>>инет. но можно полностью сеть блокировать 124.217.0.0 Как это осуществить, прошу
>>помощи товарищи. Я новичек в этом деле, буду рад примерному конфигу
>>в данной теме.
>
>вообще, он не пытается забросать вас пакетами, а пытается через вашу циску
>пропустить телефонию. у меня сейчас то же с адреса 124.217.251.119

можно по-подробней... ?


"блокировка подсети интернета"
Отправлено dslimp , 15-Дек-08 12:27 
>>
>>вообще, он не пытается забросать вас пакетами, а пытается через вашу циску
>>пропустить телефонию. у меня сейчас то же с адреса 124.217.251.119
>
>можно по-подробней... ?

порт 1720 - это h323 протокол, ip телефония. у меня на циске были попытки с этого ip адреса инициации голосового разговора на номера в сша и на другие направления


"блокировка подсети интернета"
Отправлено Eeyore , 15-Дек-08 12:04 
может, тогда так:
access-list 1 deny 124.217.0.0 0.0.255.255
access-list 1 permit any
и
no ip unreachables  ?



"блокировка подсети интернета"
Отправлено Figabra , 15-Дек-08 12:29 
>может, тогда так:
>access-list 1 deny 124.217.0.0 0.0.255.255
>access-list 1 permit any

>no ip unreachables  ?

Однозначно закрыть эту сетку и повесить ACL на IN ну и на OUT тоже:

deny ip 124.217.224.0 0.0.31.255 any
deny ip 209.62.0.0 0.0.127.255 any
deny ip 219.234.80.0 0.0.15.255 any
permit ip any any

Эти ребята давно ломятся...


"блокировка подсети интернета"
Отправлено EXA , 16-Дек-08 09:32 
>[оверквотинг удален]
>>Прошу вас помочь в решении проблемы: повадился один человек из кореи или
>>китая забивать пакетами по порту 1720 нашу киску 2811. Подскажите пожалуйста
>>как мне его заблокировать ? я знаю его адреса - это
>>124.217.250.129 и 124.217.253.30 Понятно что это подсеть какогото провайдера который раздает
>>инет. но можно полностью сеть блокировать 124.217.0.0 Как это осуществить, прошу
>>помощи товарищи. Я новичек в этом деле, буду рад примерному конфигу
>>в данной теме.
>
>вообще, он не пытается забросать вас пакетами, а пытается через вашу циску
>пропустить телефонию. у меня сейчас то же с адреса 124.217.251.119

У меня тот же IP по SIP перебирает телефоны, плин кулхацкеров развелось.


"блокировка подсети интернета"
Отправлено tilk , 18-Дек-08 12:26 

>У меня тот же IP по SIP перебирает телефоны, плин кулхацкеров развелось.
>

я попробовал создать acl такого вида и повесить на интерфейс с которого засек этот апи

ip access-list extended NET-124.217
deny  ip 124.217.0.0 0.0.31.255 any
permit ip any any

и привязал его к интерфейсу
interface Tunnel1
description KTCompany
ip address 85.195.х.х 255.255.х.х
ip access-group NET-124.217 in
ip nat outside
ip virtual-reassembly
tunnel source 89.х.х.х.
tunnel destination 82.х.х.х
tunnel mode ipip

но почемуто оно не сработало
вопрос почему?