URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 17783
[ Назад ]

Исходное сообщение
"блокировка подсети интернета"
Отправлено tilk , 10-Дек-08 06:46

Уважаемые товарищи специалисты!!!
Прошу вас помочь в решении проблемы: повадился один человек из кореи или китая забивать пакетами по порту 1720 нашу киску 2811. Подскажите пожалуйста как мне его заблокировать ? я знаю его адреса - это 124.217.250.129 и 124.217.253.30 Понятно что это подсеть какогото провайдера который раздает инет. но можно полностью сеть блокировать 124.217.0.0 Как это осуществить, прошу помощи товарищи. Я новичек в этом деле, буду рад примерному конфигу в данной теме.

Содержание

блокировка подсети интернета,APach, 09:53 , 10-Дек-08
- блокировка подсети интернета,tilk, 13:59 , 10-Дек-08
  - блокировка подсети интернета,Figabra, 17:04 , 10-Дек-08
блокировка подсети интернета,Лемонов, 02:22 , 11-Дек-08
блокировка подсети интернета,dslimp, 11:19 , 15-Дек-08
- блокировка подсети интернета,Аноним, 11:59 , 15-Дек-08
  - блокировка подсети интернета,dslimp, 12:27 , 15-Дек-08
- блокировка подсети интернета,Eeyore, 12:04 , 15-Дек-08
  - блокировка подсети интернета,Figabra, 12:29 , 15-Дек-08
- блокировка подсети интернета,EXA, 09:32 , 16-Дек-08
  - блокировка подсети интернета,tilk, 12:26 , 18-Дек-08

Сообщения в этом обсуждении

"блокировка подсети интернета"
Отправлено APach , 10-Дек-08 09:53

>Уважаемые товарищи специалисты!!!
>Прошу вас помочь в решении проблемы: повадился один человек из кореи или
>китая забивать пакетами по порту 1720 нашу киску 2811. Подскажите пожалуйста
>как мне его заблокировать ? я знаю его адреса - это
>124.217.250.129 и 124.217.253.30 Понятно что это подсеть какогото провайдера который раздает
>инет. но можно полностью сеть блокировать 124.217.0.0 Как это осуществить, прошу
>помощи товарищи. Я новичек в этом деле, буду рад примерному конфигу
>в данной теме.
Примерно вот так:
access-list 1 deny 124.217.250.1 0.0.0.255
access-list 1 deny 124.217.253.1 0.0.0.255
access-list 1 permit any
int Ваш интерфейс
ip access-group 1 in

"блокировка подсети интернета"
Отправлено tilk , 10-Дек-08 13:59

>[оверквотинг удален]
>>в данной теме.
>
>Примерно вот так:
>
>access-list 1 deny 124.217.250.1 0.0.0.255
>access-list 1 deny 124.217.253.1 0.0.0.255
>access-list 1 permit any
>
>int Ваш интерфейс
>ip access-group 1 in
спасибо, а если я адрес неправильно указал, как на киске выяснить с какого адреса идет посылка пакетов. какими средствами.

"блокировка подсети интернета"
Отправлено Figabra , 10-Дек-08 17:04

>[оверквотинг удален]
>>
>>access-list 1 deny 124.217.250.1 0.0.0.255
>>access-list 1 deny 124.217.253.1 0.0.0.255
>>access-list 1 permit any
>>
>>int Ваш интерфейс
>>ip access-group 1 in
>
>спасибо, а если я адрес неправильно указал, как на киске выяснить с
>какого адреса идет посылка пакетов. какими средствами.
sh ip cache flow

"блокировка подсети интернета"
Отправлено Лемонов , 11-Дек-08 02:22

>Уважаемые товарищи специалисты!!!
>Прошу вас помочь в решении проблемы: повадился один человек из кореи или
>китая забивать пакетами по порту 1720 нашу киску 2811. Подскажите пожалуйста
>как мне его заблокировать ? я знаю его адреса - это
>124.217.250.129 и 124.217.253.30 Понятно что это подсеть какогото провайдера который раздает
>инет. но можно полностью сеть блокировать 124.217.0.0 Как это осуществить, прошу
>помощи товарищи. Я новичек в этом деле, буду рад примерному конфигу
>в данной теме.
напишите провайдеру, зачем вашему маршрутизатору "отбрасывать" платный,ненужный/паразитный трафик?!

"блокировка подсети интернета"
Отправлено dslimp , 15-Дек-08 11:19

>Уважаемые товарищи специалисты!!!
>Прошу вас помочь в решении проблемы: повадился один человек из кореи или
>китая забивать пакетами по порту 1720 нашу киску 2811. Подскажите пожалуйста
>как мне его заблокировать ? я знаю его адреса - это
>124.217.250.129 и 124.217.253.30 Понятно что это подсеть какогото провайдера который раздает
>инет. но можно полностью сеть блокировать 124.217.0.0 Как это осуществить, прошу
>помощи товарищи. Я новичек в этом деле, буду рад примерному конфигу
>в данной теме.
вообще, он не пытается забросать вас пакетами, а пытается через вашу циску пропустить телефонию. у меня сейчас то же с адреса 124.217.251.119

"блокировка подсети интернета"
Отправлено Аноним , 15-Дек-08 11:59

>[оверквотинг удален]
>>Прошу вас помочь в решении проблемы: повадился один человек из кореи или
>>китая забивать пакетами по порту 1720 нашу киску 2811. Подскажите пожалуйста
>>как мне его заблокировать ? я знаю его адреса - это
>>124.217.250.129 и 124.217.253.30 Понятно что это подсеть какогото провайдера который раздает
>>инет. но можно полностью сеть блокировать 124.217.0.0 Как это осуществить, прошу
>>помощи товарищи. Я новичек в этом деле, буду рад примерному конфигу
>>в данной теме.
>
>вообще, он не пытается забросать вас пакетами, а пытается через вашу циску
>пропустить телефонию. у меня сейчас то же с адреса 124.217.251.119
можно по-подробней... ?

"блокировка подсети интернета"
Отправлено dslimp , 15-Дек-08 12:27

>>
>>вообще, он не пытается забросать вас пакетами, а пытается через вашу циску
>>пропустить телефонию. у меня сейчас то же с адреса 124.217.251.119
>
>можно по-подробней... ?
порт 1720 - это h323 протокол, ip телефония. у меня на циске были попытки с этого ip адреса инициации голосового разговора на номера в сша и на другие направления

"блокировка подсети интернета"
Отправлено Eeyore , 15-Дек-08 12:04

может, тогда так:
access-list 1 deny 124.217.0.0 0.0.255.255
access-list 1 permit any
и
no ip unreachables ?

"блокировка подсети интернета"
Отправлено Figabra , 15-Дек-08 12:29

>может, тогда так:
>access-list 1 deny 124.217.0.0 0.0.255.255
>access-list 1 permit any
>и
>no ip unreachables ?
Однозначно закрыть эту сетку и повесить ACL на IN ну и на OUT тоже:
deny ip 124.217.224.0 0.0.31.255 any
deny ip 209.62.0.0 0.0.127.255 any
deny ip 219.234.80.0 0.0.15.255 any
permit ip any any
Эти ребята давно ломятся...

"блокировка подсети интернета"
Отправлено EXA , 16-Дек-08 09:32

>[оверквотинг удален]
>>Прошу вас помочь в решении проблемы: повадился один человек из кореи или
>>китая забивать пакетами по порту 1720 нашу киску 2811. Подскажите пожалуйста
>>как мне его заблокировать ? я знаю его адреса - это
>>124.217.250.129 и 124.217.253.30 Понятно что это подсеть какогото провайдера который раздает
>>инет. но можно полностью сеть блокировать 124.217.0.0 Как это осуществить, прошу
>>помощи товарищи. Я новичек в этом деле, буду рад примерному конфигу
>>в данной теме.
>
>вообще, он не пытается забросать вас пакетами, а пытается через вашу циску
>пропустить телефонию. у меня сейчас то же с адреса 124.217.251.119
У меня тот же IP по SIP перебирает телефоны, плин кулхацкеров развелось.

"блокировка подсети интернета"
Отправлено tilk , 18-Дек-08 12:26

>У меня тот же IP по SIP перебирает телефоны, плин кулхацкеров развелось.
>
я попробовал создать acl такого вида и повесить на интерфейс с которого засек этот апи
ip access-list extended NET-124.217
deny ip 124.217.0.0 0.0.31.255 any
permit ip any any
и привязал его к интерфейсу
interface Tunnel1
description KTCompany
ip address 85.195.х.х 255.255.х.х
ip access-group NET-124.217 in
ip nat outside
ip virtual-reassembly
tunnel source 89.х.х.х.
tunnel destination 82.х.х.х
tunnel mode ipip
но почемуто оно не сработало
вопрос почему?