URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 7565
[ Назад ]

Исходное сообщение
"NAT - ограничить число соединений"
Отправлено Amsand , 25-Мрт-05 08:53

CISCO 3745, IOS 12.3, inspect-а нет.
Хочется иметь возможность ограничивать число записей в таблице трансляции с одного IP-адреса. В частности, чтобы ограничить работу с зараженных вирусом машин через NAT, поскольку одна такая машина даже при таймауте 15 сек. успевает набить в таблицу трансляции 1000-1500 записей. ip nat trans max-entries ограничивает лишь общее число записей, в итоге таблица оказывается занята записями, порождаемыми при сканировании, а легальным соединениям ничего не достается.
Можно ли это как-то сделать без поддержки inspect?

Содержание

NAT - ограничить число соединений,ВОЛКА, 09:01 , 25-Мрт-05
- NAT - ограничить число соединений,Amsand, 09:55 , 25-Мрт-05
  - NAT - ограничить число соединений,trafik, 08:12 , 15-Апр-07

Сообщения в этом обсуждении

"NAT - ограничить число соединений"
Отправлено ВОЛКА , 25-Мрт-05 09:01

посмотреть таблицу трансляций
определить зараженные машины
написать ACL

"NAT - ограничить число соединений"
Отправлено Amsand , 25-Мрт-05 09:55

>посмотреть таблицу трансляций
>определить зараженные машины
>написать ACL
Зараженные машины подключаются через модемный пул. Ни IP-адрес, ни номер линии предсказать невозможно :(

"NAT - ограничить число соединений"
Отправлено trafik , 15-Апр-07 08:12

>>посмотреть таблицу трансляций
>>определить зараженные машины
>>написать ACL
в новых IOS: ip nat translation max-entries all-host 256
но не забыть уменьшить ip nat translation timeout-опции
--
WRA-RIPE