service status filtered

Anton Gorlov написал(а) к All в Dec 16 00:35:24 по местному времени:

Привет All!

Гм. а подскажите пожалуйста такую вещь:

В аццес листе отфильтровал часть сервисов, обычным

5 permit icmp any any
40 permit tcp host xx.zz.179.76 any
50 deny tcp any any eq 22 (543 matches)
60 deny tcp any host xx.yy.126.225 eq www (8 matches)
61 deny tcp any host xx.yy.126.225 eq 443 (6 matches)
....



и так далее по всем сервисам которые нужно прикрыть


На интерфейсе в сторону сервера


interface Vlan18
ip vrf forwarding CORE_WНITE
ip address xx.yy.126.226 255.255.255.252
ip access-group 100 out
no ip redirects
no ip unreachables
no ip proxy-arp
end


На интерфейсе апплинка циски аналогично

no ip redirects
no ip unreachables
no ip proxy-arp


Но при этом nmap всё таки рисует что сервисесть но он filtered

22/tcp filtered ssh
80/tcp filtered http
443/tcp filtered https


А как бы добиться, что бы со строны было проcто не видно, что там что-то есть на этом порту?





С уважением. Anton aka Stalker

Linux Registered User #386476
[#TEAM:*#] [#Злой СисОп_#] [*Нeavy Metal!*] [*_Усачи]
--- GoldED+/LNX 1.1.5-b20160322

Alexey Vissarionov написал(а) к Anton Gorlov в Dec 16 02:33:00 по местному времени:

Доброго времени суток, Anton!
16 Dec 2016 00:35:24, ты -> All:

AG> Но при этом nmap всё таки рисует что сервисесть но он filtered
AG> 22/tcp filtered ssh
AG> 80/tcp filtered http
AG> 443/tcp filtered https
AG> А как бы добиться, что бы со строны было проcто не видно, что
AG> там что-то есть на этом порту?

Соблюдать стандарты и посылать TН_RST.


З.Ы. (Замечу Ышо): от грамотного сканирования все равно не поможет - только слушать на указанном междумордии (например, внутри VLAN по имени Management).

--
Alexey V. Vissarionov aka Gremlin from Kremlin
gremlin ПРИ gremlin ТЧК ru; +vii-cmiii-ccxxix-lxxix-xlii

... Кто в моей доброте усомнится, тот кровавыми слезами обольется
--- /bin/vi

Eugene Grosbein написал(а) к Anton Gorlov в Dec 16 16:15:01 по местному времени:

16 дек 2016, пятница, в 01:35 NOVT, Anton Gorlov написал(а):

AG> no ip unreachables
^^^^^^^^^^^^^^^^^^^^^^^^

AG> Но при этом nmap всё таки рисует что сервисесть но он filtered
AG> 22/tcp filtered ssh
AG> 80/tcp filtered http
AG> 443/tcp filtered https
AG> А как бы добиться, что бы со строны было проcто не видно, что там что-то есть
AG> на этом порту?

filtered это обозначение того, что порт зафильтрован, то есть при обращении
к нему ничего в ответ не посылается, в отличие от неиспользуемого
порта, при обращении к которому посылается TCP RST или ICMP unreachable.

А ты сам запретил посылать unreachables подчеркнутой командой.
Верни ip unreachables в конфигурацию интерфейсов.

Eugene
--
Комбинация заискивания, подкупа и устрашения заставит молодого ученого
работать над управляемыми снарядами или атомной бомбой. (Норберт Винер)
--- slrn/1.0.2 (FreeBSD)

Anton Gorlov написал(а) к Alexey Vissarionov в Dec 16 14:29:48 по местному времени:

Привет Alexey!

16 дек 16 года (а было тогда 02:33)
Alexey Vissarionov в своем письме к Anton Gorlov писал:

AG>> Но при этом nmap всё таки рисует что сервисесть но он filtered
AG>> 22/tcp filtered ssh
AG>> 80/tcp filtered http
AG>> 443/tcp filtered https
AG>> А как бы добиться, что бы со строны было проcто не видно, что
AG>> там что-то есть на этом порту?
AV> Соблюдать стандарты и посылать TН_RST.

Так вот ивопрсо як их на циске...

AV> З.Ы. (Замечу Ышо): от грамотного сканирования все равно не поможет -
AV> только слушать на указанном междумордии (например, внутри VLAN по
AV> имени Management).

тут речь про скрипткиддисы..не более

С уважением. Anton aka Stalker

Linux Registered User #386476
[#TEAM:*#] [#Злой СисОп_#] [*Нeavy Metal!*] [*_Усачи]
--- GoldED+/LNX 1.1.5-b20160322

Anton Gorlov написал(а) к eugen@grosbein.net в Dec 16 00:16:38 по местному времени:

Привет eugen!

16 дек 16 года (а было тогда 16:15)
Eugene Grosbein в своем письме к Anton Gorlov писал:

AG>> no ip unreachables

EG> ^^^^^^^^^^^^^^^^^^^^^^^^

AG>> Но при этом nmap всё таки рисует что сервисесть но он filtered
AG>> 22/tcp filtered ssh

EG> filtered это обозначение того, что порт зафильтрован, то есть при
EG> обращении к нему ничего в ответ не посылается, в отличие от
EG> неиспользуемого порта, при обращении к которому посылается TCP RST или
EG> ICMP unreachable.
EG> А ты сам запретил посылать unreachables подчеркнутой командой.
EG> Верни ip unreachables в конфигурацию интерфейсов.


Убрал с интерфейсов апплинка/даунлинка. Ситуация не изменилась.

interface Vlan17
ip vrf forwarding CORE_WНITE
ip address xx.yy.127.234 255.255.255.252
no ip redirects
no ip proxy-arp
end



interface Vlan18
ip vrf forwarding CORE_WНITE
ip address xx.yy.126.226 255.255.255.252
ip access-group 100 out
no ip redirects
no ip proxy-arp
end





С уважением. Anton aka Stalker

Linux Registered User #386476
[#TEAM:*#] [#Злой СисОп_#] [*Нeavy Metal!*] [*_Усачи]
--- GoldED+/LNX 1.1.5-b20160322

Eugene Grosbein написал(а) к Anton Gorlov в Dec 16 16:06:46 по местному времени:

17 дек 2016, суббота, в 01:16 NOVT, Anton Gorlov написал(а):

AG>>> no ip unreachables
EG>> ^^^^^^^^^^^^^^^^^^^^^^^^
AG>>> Но при этом nmap всё таки рисует что сервисесть но он filtered
AG>>> 22/tcp filtered ssh
EG>> filtered это обозначение того, что порт зафильтрован, то есть при
EG>> обращении к нему ничего в ответ не посылается, в отличие от
EG>> неиспользуемого порта, при обращении к которому посылается TCP RST или
EG>> ICMP unreachable.
EG>> А ты сам запретил посылать unreachables подчеркнутой командой.
EG>> Верни ip unreachables в конфигурацию интерфейсов.
AG> Убрал с интерфейсов апплинка/даунлинка. Ситуация не изменилась.

Возможно, nmap реагирует только на TCP RST, а не на ICMP port unreachable.
Циска твоя не умеет посылать TCP RST, разве что у неё есть команда
ip tcp intercept в глобальном режиме конфигурации.

Если есть, то почитай про ip tcp intercept.

Eugene
--
Поэты - страшные люди. У них все святое.
--- slrn/1.0.2 (FreeBSD)

Anton Gorlov написал(а) к eugen@grosbein.net в Dec 16 22:23:22 по местному времени:

Привет eugen!

19 дек 16 года (а было тогда 16:06)
Eugene Grosbein в своем письме к Anton Gorlov писал:

EG> Возможно, nmap реагирует только на TCP RST, а не на ICMP port
EG> unreachable. Циска твоя не умеет посылать TCP RST, разве что у неё
EG> есть команда ip tcp intercept в глобальном режиме конфигурации.
EG> Если есть, то почитай про ip tcp intercept.


Увы нет такой опции

==
ASW1_C6509(config)#ip tcp ?
async-mobility Configure async-mobility
chunk-size TCP chunk size
mss TCP initial maximum segment size
path-mtu-discovery Enable path-MTU discovery on new TCP connections
queuemax Maximum queue of outgoing TCP packets
selective-ack Enable TCP selective-ACK
synwait-time Set time to wait on new TCP connections
timestamp Enable TCP timestamp option
window-size TCP window size

===


С уважением. Anton aka Stalker

Linux Registered User #386476
[#TEAM:*#] [#Злой СисОп_#] [*Нeavy Metal!*] [*_Усачи]
--- GoldED+/LNX 1.1.5-b20160322