URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 21557
[ Назад ]

Исходное сообщение
"как закрыть 53ий порт на внешнем интерфейсе?"
Отправлено disia , 05-Сен-10 02:17

конфиг:
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname loacal
!
boot-start-marker
boot-end-marker
!
!
aaa new-model
!
!
!
!
aaa session-id common
!
!
dot11 syslog
!
dot11 ssid wifi
   vlan 1
   authentication open
   authentication key-management wpa
   guest-mode
   wpa-psk ascii 7 key
!
no ip dhcp use vrf connected
ip dhcp excluded-address 10.0.0.254
ip dhcp ping packets 5
!
ip dhcp pool local
   import all
   network 10.0.0.0 255.255.255.0
   default-router 10.0.0.254
   dns-server 10.0.0.254
   domain-name domain.ru
!
ip dhcp pool local.123
   host 10.0.0.1 255.255.255.0
   client-identifier 123
   client-name local.123
   lease infinite
!
ip dhcp pool local.234
   host 10.0.0.2 255.255.255.0
   client-identifier 234
   client-name local.234
   lease infinite
!
ip dhcp pool local.345
   host 10.0.0.3 255.255.255.0
   client-identifier 345
   client-name local.345
   lease infinite
!
ip dhcp pool local.456
   host 10.0.0.4 255.255.255.0
   client-identifier 456
   client-name local.456
   lease infinite
!
!
ip cef
ip domain name domain.ru
ip host 345.domain.ru 10.0.0.3
ip host 123.domain.ru 10.0.0.1
ip host 456.domain.ru 10.0.0.4
ip host cisco.domain.ru 10.0.0.254
!
!
!
username user privilege 15 password 7 pass
!
!
archive
log config
  hidekeys
!
!
ip ssh authentication-retries 2
ip ssh version 1
!
bridge irb
!
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
no ip address
ip virtual-reassembly
no ip mroute-cache
duplex auto
speed auto
pppoe enable group global
pppoe-client dial-pool-number 1
no keepalive
no cdp enable
!
interface Dot11Radio0
no ip address
!
encryption vlan 1 mode ciphers tkip
!
ssid disia
!
speed basic-1.0 basic-2.0 basic-5.5 6.0 9.0 basic-11.0 12.0 18.0 24.0 36.0 48.0 54.0
channel 2437
station-role root
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 spanning-disabled
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
!
interface Dot11Radio0.1
encapsulation dot1Q 1 native
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 spanning-disabled
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
!
interface Vlan1
no ip address
bridge-group 1
!
interface Dialer1
ip address negotiated
ip mtu 1492
ip nat outside
ip virtual-reassembly
encapsulation ppp
no ip mroute-cache
dialer pool 1
dialer-group 1
no cdp enable
ppp authentication chap callin
ppp chap hostname login
ppp chap password 7 pass
ppp ipcp dns request
!
interface BVI1
ip address 10.0.0.254 255.255.255.0
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1452
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 Dialer1
!
no ip http server
no ip http secure-server
ip dns server
ip nat inside source list 100 interface Dialer1 overload
ip nat inside source static tcp 10.0.0.3 30541 interface Dialer1 30541
!
access-list 100 deny tcp any eq domain any
access-list 100 permit ip 10.0.0.0 0.0.0.255 any
dialer-list 1 protocol ip permit
!
control-plane
!
bridge 1 protocol ieee
bridge 1 route ip
!
line con 0
no modem enable
line aux 0
line vty 0 4
exec-timeout 60 0
privilege level 15
logging synchronous
transport input ssh
!
scheduler max-task-time 5000
sntp server 62.117.76.142
end
порт 53ий на внешку все ранво открыт, когда добавляю на интерфейс Dialer1: ip access-group 100 in интернет вырубется за натом...как с таким конфигом закрыть днс на внешнем интерфесе и при это сохранить трансляцию 30541 во внутрь?

Содержание

как закрыть 53ий порт на внешнем интерфейсе?,Николай, 11:30 , 06-Сен-10
- как закрыть 53ий порт на внешнем интерфейсе?,disia, 14:40 , 06-Сен-10
  - как закрыть 53ий порт на внешнем интерфейсе?,lumenous, 14:47 , 06-Сен-10
    - как закрыть 53ий порт на внешнем интерфейсе?,disia, 11:04 , 07-Сен-10
      - как закрыть 53ий порт на внешнем интерфейсе?,disia, 14:24 , 19-Сен-10
        
        как закрыть 53ий порт на внешнем интерфейсе?,sh_, 16:52 , 19-Сен-10
  - как закрыть 53ий порт на внешнем интерфейсе?,blank, 08:46 , 20-Сен-10

Сообщения в этом обсуждении

"как закрыть 53ий порт на внешнем интерфейсе?"
Отправлено Николай , 06-Сен-10 11:30

Мухи отдельно котлеты отдельно. Запросы на мир по 53 потру должны идти инече не будет резолва и отвалиться запросы по ДНС именам (а ты их рубишь) На твоей конфигурации 53 порт на ружу не выставлен (проверить просто - стукнись nslookup телнет на свой внешний ИП)

"как закрыть 53ий порт на внешнем интерфейсе?"
Отправлено disia , 06-Сен-10 14:40

>Мухи отдельно котлеты отдельно. Запросы на мир по 53 потру должны идти
>инече не будет резолва и отвалиться запросы по ДНС именам (а
>ты их рубишь) На твоей конфигурации 53 порт на ружу не
>выставлен (проверить просто - стукнись nslookup телнет на свой внешний ИП)
>
инет отваливается не оптому что нет днс резолва, пинги гаснут..в том числе по ип..проверял, если бы небыл извне доступен 53ий порт..я бы не спрашивал, в том то и дело, что доступен

"как закрыть 53ий порт на внешнем интерфейсе?"
Отправлено lumenous , 06-Сен-10 14:47

>>Мухи отдельно котлеты отдельно. Запросы на мир по 53 потру должны идти
>>инече не будет резолва и отвалиться запросы по ДНС именам (а
>>ты их рубишь) На твоей конфигурации 53 порт на ружу не
>>выставлен (проверить просто - стукнись nslookup телнет на свой внешний ИП)
>>
>
>инет отваливается не оптому что нет днс резолва, пинги гаснут..в том числе
>по ип..проверял, если бы небыл извне доступен 53ий порт..я бы не
>спрашивал, в том то и дело, что доступен
Сделайте отдельно - один ACL для настроек Ната, второй для фильтрации. Так логичнее и проще в администрировании.
Ко всему прочему, если не изменяет память DNS работает по UDP, а у вас в правиле жестко TCP.

"как закрыть 53ий порт на внешнем интерфейсе?"
Отправлено disia , 07-Сен-10 11:04

>[оверквотинг удален]
>>
>>инет отваливается не оптому что нет днс резолва, пинги гаснут..в том числе
>>по ип..проверял, если бы небыл извне доступен 53ий порт..я бы не
>>спрашивал, в том то и дело, что доступен
>
>Сделайте отдельно - один ACL для настроек Ната, второй для фильтрации. Так
>логичнее и проще в администрировании.
>
>Ко всему прочему, если не изменяет память DNS работает по UDP, а
>у вас в правиле жестко TCP.
подскажите что конкретно должно быть в обоих acl в этом случае, чтобы работал нат, чтобы работал нас сорс статик и снаружи был закрыт 53ий порт, и куда привязать и как acl для фильтрации..я так понял привязать acl к нату, это непосредственно: ip nat inside source list 100 interface Dialer1 overload

"как закрыть 53ий порт на внешнем интерфейсе?"
Отправлено disia , 19-Сен-10 14:24

up

"как закрыть 53ий порт на внешнем интерфейсе?"
Отправлено sh_ , 19-Сен-10 16:52

2lumenous
Как ни странно, он и по tcp работает. ;) Ну там зоны всякие обновляются и прочая фигня...

Для ната достаточно
access-list 100 permit ip 10.0.0.0 0.0.0.255 any
А для внешнего интерфейса нужен ваш сотый ACL, только с последней записью permit any any

"как закрыть 53ий порт на внешнем интерфейсе?"
Отправлено blank , 20-Сен-10 08:46

>инет отваливается не оптому что нет днс резолва, пинги гаснут..в том числе
>по ип..
все логично, вы же разрешаете только трафик из 10.х.х.х сети на внешнем интерфейсе.
можно посмотреть в сторону ip inspect.
или, как и сказали, отдельным ACL.