iptables [-t имя таблицы] -D [ИМЯ_ЦЕПОЧКИ] [НОМЕР]
iptables -t mangle -D FORWARD 1
iptables -t mangle -D FORWARD 1
суббота, 29 августа 2009 г.
вторник, 25 августа 2009 г.
Использование tcpdump примеры
Список самых активных
tcpdump -i vlan708 -v -ne -w attack1.log -c 10000 dst net 173.194.113.0/24 && tcpdump -nr attack1.log | awk '{print }' | grep -oE '[
0-9]{1,}\.[0-9]{1,}\.[0-9]{1,}\.[0-9]{1,}' | sort | uniq -c | sort -rn
tcpdump -nvvei em0 arp
посмотреть трафик на интерфейсе:
tcpdump -i fxp1
посмотреть трафик одного хоста:
tcpdump host 1.2.3.4
посмотреть трафик на порте:
tcpdump src port 80
посмотреть IP трафик на хост:
tcpdump ip host 1.2.3.4
посмотреть ARP трафик на хост:
tcpdump arp host 1.2.3.4
посмотреть RARP трафик на хост:
tcpdump rarp host 1.2.3.4
посмотреть трафик, кроме хоста unixserver:
tcpdump not host unixserver
посмотреть трафик на server1 и server2
tcpdump host server1 or host server2
посмотреть содержимое пакетов на интерфейсе tun0 на хост ya.ru
tcpdump -X -i tun0 host ya.ru
подсмотреть номера и пароли к icq
tcpdump -X -i fxp1 port aol
посмотреть содержимое пакетов на интерфейсе tun0 на хост ya.ru, при этом прочитать из каждого пакета по 1500 байт и не преобразовывать IP в имя хоста
tcpdump -X -s 1500 -n -i tun0 host ya.ru
tcpdump -i vlan708 -v -ne -w attack1.log -c 10000 dst net 173.194.113.0/24 && tcpdump -nr attack1.log | awk '{print }' | grep -oE '[
0-9]{1,}\.[0-9]{1,}\.[0-9]{1,}\.[0-9]{1,}' | sort | uniq -c | sort -rn
tcpdump -nvvei em0 arp
посмотреть трафик на интерфейсе:
tcpdump -i fxp1
посмотреть трафик одного хоста:
tcpdump host 1.2.3.4
посмотреть трафик на порте:
tcpdump src port 80
посмотреть IP трафик на хост:
tcpdump ip host 1.2.3.4
посмотреть ARP трафик на хост:
tcpdump arp host 1.2.3.4
посмотреть RARP трафик на хост:
tcpdump rarp host 1.2.3.4
посмотреть трафик, кроме хоста unixserver:
tcpdump not host unixserver
посмотреть трафик на server1 и server2
tcpdump host server1 or host server2
посмотреть содержимое пакетов на интерфейсе tun0 на хост ya.ru
tcpdump -X -i tun0 host ya.ru
подсмотреть номера и пароли к icq
tcpdump -X -i fxp1 port aol
посмотреть содержимое пакетов на интерфейсе tun0 на хост ya.ru, при этом прочитать из каждого пакета по 1500 байт и не преобразовывать IP в имя хоста
tcpdump -X -s 1500 -n -i tun0 host ya.ru
вторник, 11 августа 2009 г.
Аdsl dslam скорость в двоичном виде
Скорость Значение в HEX
128 Кбит/c 0x20000
256 Кбит/c 0x40000
512 Кбит/c 0x7d000
1 Мбит/c 0x100000
1.5 Мбит/c 0x180000
2 Мбит/c 0x200000
4 Мбит/c 0x400000
8 Мбит/c 0x800000
12 Мбит/c 0xc00000
16 Мбит/c 0x1000000
128 Кбит/c 0x20000
256 Кбит/c 0x40000
512 Кбит/c 0x7d000
1 Мбит/c 0x100000
1.5 Мбит/c 0x180000
2 Мбит/c 0x200000
4 Мбит/c 0x400000
8 Мбит/c 0x800000
12 Мбит/c 0xc00000
16 Мбит/c 0x1000000
суббота, 1 августа 2009 г.
Команды Cisco в примерах
#Log ssh attempt
ip ssh logging events
#Buffer and log level
logging buffered 25000 debugging
Конфигурирование Интерфейса
---------------------------
ip address
Режим:
Router(config-if)#
Синтаксис:
ip address ip-address mask [secondary]
no ip address
Описание:
ip-address mask : ip адрес и маска secondary вотричный адрес (может быть не один)
Пример:
Router(config-if)#ip address 192.168.10.1 255.255.255.0
bandwidth
Режим:
Router(config-if)#
Синтаксис:
bandwidth kilobits
no bandwidth
Описание:
kilobits : Пропускная способность в килобитах в секунду.
Данная команда необходима только для протоколов маршрутизации. (OSPF например).
Пример:
Router(config)#interface serial 0/0
Router(config-if)#bandwidth 1540
description
Режим:
Router(config-if)#
Синтаксис:
description string
no description
Описание:
string : Комментарий к интерфейсу.
Пример:
Router(config-if)#description 100Mb to UA-IX
encapsulation
Режим:
Router(config-if)#
Синтаксис:
encapsulation encapsulation-type
no encapsulation encapsulation-type
Описание:
encapsulation-type : Тип енкапсуляции:
- atm-dxi (ATM Mode-Data Exchange Interface)
- bstun (Block Serial Tunnel)
- frame-relay (Frame Relay, for serial interface)
- hdlc (High-Level Data Link Control protocol, for serial interface)
- isl (Inter-Switch Link, for virtual LANs)
- lapb (X.25 Link Access Procedure, Balanced, for serial interface)
- ppp (Point-to-Point, for serial interface)
- sdlc (IBM serial Systems Network Architecture (SNA))
- sdlc-secondary (IBM serial SNA (for secondary serial interface))
- slip (Specifies Serial Line Internet Protocol)
Пример:
Router(config)#interface serial 0/0
Router(config-if)#encapsulation ppp
encapsulation frame-relay
Режим:
Router(config-if)#
Синтаксис:
encapsulation frame-relay [cisco | ietf]
no encapsulation frame-relay [ietf]
Описание:
cisco : Использовать енкапсуляцию cisco.(Заголовок 4 байта: 2=DLCI + 2=тип пакета)
ietf стандарт Internet Engineering Task Force (IETF) (RFC 1490).
Пример:
Router(config)#interface serial 0/1
Router(config-if)#encapsulation frame-relay ietf
encapsulation x25
Режим:
Router(config-if)#
Синтаксис:
encapsulation x25 [dte | dce ] [ddn | bfe ] | [ietf ]
no encapsulation x25
Описание:
dte : Работать как DTE. (По умолчанию).
dce : Работать как DCE.
ddn : DDN X.25 Standard Service.
bfe : При подключении к BFE устройтсву.
ietf : Стандарт Internet Engineering Task Force (IETF) (RFC 1356).
Пример:
Router(config)#interface serial 0/1
Router(config-if)#encapsulation x25 dce
На другой стороне:
Router(config)#interface serial 0/1
Router(config-if)#encapsulation x25 dte
(dce и dte - логические, не зависят от типа оборудования)
shutdown
Режим:
Router(config-if)#
Синтаксис:
shutdown
no shutdown
Описание:
Поднять (включить) или
опустить (выключить) интерфейс.
Пример:
Router(config-if)#no shutdown
cdp enable
Режим:
Router(config-if)#
Синтаксис:
cdp enable
no cdp enable
Описание:
Включить Cisco Discovery Protocol (CDP) на интерфейсе или выключить.
Пример:
Router(config)#interface serial 0/1
Router(config-if)#no cdp enable
cdp holdtime
Режим:
Router(config)#
Синтаксис:
cdp holdtime seconds
no cdp holdtime
Описание:
seconds : Количество секунд которые устойство получившее CDP пакет
будет его хранить. (по умолчанию 180 сек.)
Значение должно быть больше чем cdp timer (период отсылки cdp пакетов).
Пример:
Router(config)#cdp holdtime 100
ip redirects
Режим:
Router(config-if)#
Синтаксис:
ip redirects
no ip redirects
Описание:
Дання команда включает отправку ICMP redirects на интерфейсе.
(если входящий пакет надо отправить в тот же интерфейс с которого он
получен)
Пример:
Router(config)#interface serial 0/0
Router(config-if)#ip redirects
clear cdp table
Режим:
Router#
Синтаксис:
clear cdp table
Описание:
Команда очищает таблицу содержащую информацию о CDP соседях.
Пример:
Router#clear cdp table
clear cdp counters
Режим:
Router#
Синтаксис:
clear cdp counters
Описание:
Очищает всю информацию (счетчики) о полученых, отправленых, ... CDP пакетах.
Посмотреть эту информацию можно выполнив команду show cdp traffic.
Пример:
Router#clear cdp counters
ip access-group
Режим:
Router(config-if)#
Синтаксис:
ip access-group access-list-number | access-list-name {in | out}
no ip access-group access-list-number | access-list-name
Описание:
access-list-number | access-list-name : Имя или название ACL
in, out : На какие пакеты будет действоавть этот ACL.
in - на те которые получены с этого интерфейса
out - те которые должны быть отправлены с этого интерфейса.
Пример:
Запрет на доступ к серверам 10.0.0.[1 - 3] всем кто подключен к serial
0/0, на всю остальную сеть 10.0.0.0/8 - запрета нет.
Router(config)#access-list 2 deny 10.0.0.1
Router(config)#access-list 2 deny 10.0.0.2
Router(config)#access-list 2 deny 10.0.0.3
Router(config)#access-list 2 permit 10.0.0.0 0.255.255.255
Router(config)#interface serial 0/0
Router(config-if)#ip access-group 2 in
Номера ACL (стандартные,расширенные, acl numbers)
Протокол IP:
Стандартные: 1 - 99
Стандартные: 1300-1999
Расширенные: 100 - 199
Расширенные: 2000 - 2699
Протокол IPX:
Стандартные: 800 - 899
Расширенные: 900 - 999
Списки доступа (Access list) ACL
access-list
Режим:
Router(config)#
Синтаксис:
Стандартный:
access-list access-list-number {deny | permit | remark line} source [source-wildcard] [log]
Расширенный:
access-list access-list-number [dynamic dynamic-name [timeout minutes]]
{deny | permit | remark line } protocol source
source-wildcard destination destination-wildcard [precedence precedence]
[tos tos] [log | log-input][time-range name]
no access-list access-list-number
Описание:
access-list-number[20] - Номер ACL списка.
dynamic dynamic-name timeout minutes - Означает что данная запись в
этом ACL будет динамической (будет ставлятся в ACL только тогда, когда
произойдет телнет на циску, и удалятся через minutes мин.
неактивности)
deny - запретить прохождение пакетов
permit - разрешить прохождение пакетов
remark line - комментарий
protocol - протокол для которого данное правило будет работать
source [source-wildcard] - источник пакетов, wild-card маска источника
destination [destination-wildcard] - получатель пакетов, wild-card
маска получателя
precedence precedence - (0..7) Первые 3-и бита поля TOS (тоже самое
можно сделать через TOS)
tos tos - (0..15) Поле TOS IPv4 пакета (Type of service)
log - Логирование на консоль (какой ACL, протокол, откуда+куда пакет пришел, ...)
log-input - Тоже что и log + интерфейс + MAC адрес отправителя
time-range name - Когда должно действовать это правило. (Смотри
команду time-range)
Пример:
Пример динамического ACL:
Router(config)#access-list 101 permit tcp 0.0.0.0 255.255.255.255
10.0.0.1 0.0.0.0 eq telnet
Router(config)#access-list 101 dynamic admin_www permit tcp 10.0.0.0
0.0.0.255 0.0.0.0 255.255.255.255 eq 80
Router(config)#access-list 101 deny ip any any
Стандартный:
Router(config)#access-list 1 permit 10.0.0.1 0.0.0.0
show access-lists
Режим:
Router#
Синтаксис:
show access-lists [access-list-number | access-list-name]
Описание:
access-list-number - Номер Access списка
access-list-name - Имя ACL (для именованых ACL)
Команда выводит состав ACL списка.
Пример:
Router#show access-lists 110
permit tcp host 10.0.0.10 any established (4304 matches)
permit udp host 10.0.0.10 any eq domain (129 matches)
permit icmp host 10.0.0.10 any
permit tcp host 10.0.0.10 host 10.0.0.11 gt 1023
permit tcp host 10.0.0.10 host 10.0.0.11 eq smtp (2 matches)
permit tcp host 10.0.0.10 host 10.0.0.12 eq smtp
clear access-list counters
Режим:
Router>
Router#
Синтаксис:
clear access-list counters {access-list-number | access-list-name}
Описание:
access-list-number - Номер Access списка
access-list-name - Имя ACL (для именованых ACL)
Команда очищает значения счетчиков списка доступа.
(Которые можно увидеть выполнив команду [21]show access-lists)
Пример:
Router#clear access-list counters 110
или
Router>clear access-list counters 110
Временные периоды (Time Range)
absolute
Режим:
Router(config-time-range)#
Синтаксис:
absolute [start time date] [end time date]
no absolute
Описание:
time :Время в 24 часовом формате.
date : Дата. (число "название месяца" год, пример: 10 december 2005)
Пример:
Router(config-time-range)#absolute 01:00 31 december 2005 01:00 1 january 2006
time-range
Режим:
Router(config)#
Синтаксис:
time-range time-range-name
no time-range time-range-name
Описание:
time-range-name : Имя временного периода.
Пример:
Router(config)#time-range DenyNight
periodic
Режим:
Router(config-time-range)#
Синтаксис:
periodic days-of-the-week hh:mm to [days-of-the-week] hh:mm
Описание:
days-of-the-week : Начало или конец временного периода.
Варианты:
Monday, Tuesday, Wednesday, Thursday, Friday, Saturday, Sunday.
Или:
daily = (Monday - Sunday),
weekdays = (Monday - Friday),
weekend = (Saturday, Sunday).
hh:mm - В 24 часовом формате
Пример:
Router(config)#time-range DenyNight
Router(config-time-range)#periodic daily 22:00 to 9:00
Маршрутизация
OSPF (Open Shortest Path First)
-------------------------------
router ospf (запуск процесса ospf)
Режим:
Router(config)#
Синтаксис:
router ospf process-id
no router ospf process-id
Описание:
process-id : Номер процесса OSPF. (любое число > 0) ( можно запустить
несколько процессов )
Пример:
Router(config)#router ospf 1
network area
Режим:
Router(config-router)#
Синтаксис:
network address wildcard-mask area area-id
no network address wildcard-mask area area-id
Описание:
address wildcard-mask : Адрес и wild-card маска сети которая будет
учавствовать в OSPF маршрутизации. ( также определяет интерфейс на
котором будет запущен OSPF )
Пример:
Router(config-router)#network 10.0.0.0 0.0.0.255 area 1
ip ospf cost
Режим:
Router(config-if)#
Синтаксис:
ip ospf cost cost
no ip ospf cost
Описание:
cost : Стоимость (метрика) маршрута (для данного интерфейса) для OSPF
маршрутизации.
(от 1 до 65535).
При отсутствии данной команды стоимость (метрика) для данного
интерфейса расчитываеться исходя из его пропускной способности. (см
команду [21]bandwidth)
Пример:
Router(config-if)#ip ospf cost 100
ip ospf priority
Режим:
Router(config-if)#
Синтаксис:
ip ospf priority number
no ip ospf priority
Описание:
number : Приоритет маршрутизатора. (от 1 до 65535).
Приоритет используется при выборе выделенного (designated)
маршретизатора. Чем выше приоритет тем больше шансов что этот
маршрутизатор станет выделенным.
Пример:
Router(config-if)#ip ospf priority 15
area
Режим:
Router(config-router)#
Синтаксис:
area area-id {
authentication [message-digest] |
stub [no-summary] |
nssa [no-redistribution] [default-information-originate] |
default-cost cost |
range address mask [advertise | not-advertise] |
virtual-link router-id
}
Описание:
area-id : Для какой зоны будут дальнейшие настройки.
authentication [message-digest] Указание того, что для данной зоны
включена авторизация. ( см. команду ip ospf authentication-key )
Если указан параметр message-digest то будет использоваться
авторизация по MD5 ключу. ( см. команду ip ospf message-digest-key )
stub [no-summary] Указывает что данная зона являеться тупиковой. В нее
не отправляються обновления о изменениях состояния каналов, а
отправляются только суммированые данные. При указании параметра
no-summary не отправляються и суммированые данные (LSA тип 3).
nssa [no-redistribution] [default-information-originate] Cisco как
обычно вставила свои 5-копеек в протокол OSPF. :-).
NSSA = not-so-stubby area. Не совсем тупиковая зона. (О как!) То же
что и stub но при этом маршрутизатор будет импортировать внешние
маршруты.
Опция default-information-originate - говорить всем что маршрут
0.0.0.0 - через меня.
default-cost cost : Указывает стоимость суммарного маршрута по
умолчанию отправляемого в тупиковую зону.
range address mask : Используеться для указания сумманого адреса и
маски на границе зоны.
пример:
Router(config-router)#area 1 range 10.0.0.1 255.255.0.0
virtual-link router-id : Если маршрутизатор не имеет прямой связи с
зоной 0 (требование протокола OSPF) но имеет соединение с (например) с
зоной 1 то зона 1 обьявляеться как "транзитная" (виртуальная).
Пример конфига (даже с авторизацией на транзитной зоне) есть тут.
Пример:
Router(config-router)#area 0 authentication message-digest
ip ospf authentication-key
Режим:
Router(config-if)#
Синтаксис:
ip ospf authentication-key password
no ip ospf authentication-key
Описание:
password : Пароль для авторизации пакетов от соседнего маршрутизатора
на котором настроена авторизация аналогичным образом.(до 8 символов).
Для включения авторизации необходимо явно указать это (для конкретной
зоны) с помощью команды area [area_num] authentication
Пример:
Router(config-if)#ip ospf authentication-key thispwd
ip ospf message-digest-key
Режим:
Router(config-if)#
Синтаксис:
ip ospf message-digest-key key-id md5 key
no ip ospf message-digest-key key-id
Описание:
Команда используеться для установки авторизационных параметров по
алгоритму MD5.
key-id : Номер ключа. (от 1 до 255).
key : Пароль (буквенно-циферный). (до 16 символов).
key-id и key ДОЛЖНЫ совпадать на соседних маршрутизаторах.
Для включения авторизации необходимо явно указать это (для конкретной
зоны) с помощью команды area [area_num] authentication
Пример:
Router(config)#interface ethernet 0/1
Router(config-if)#ip ospf message-digest-key 1 md5 coolpwd1
ip ospf network
Режим:
Router(config-if)#
Синтаксис:
ip ospf network {broadcast | non-broadcast | {point-to-multipoint [non-broadcast ]}}
no ip ospf network
Описание:
Команда указывает протоколу OSPF к камому типу сети подключен данный
интерфейс.
Пример:
Router(config-if)#ip ospf network non-broadcast
router-id
Режим:
Router(config-router)#
Синтаксис:
router-id ip-address
no router-id ip-address
Описание:
Команда необходима для явного указания ID маршрутизатора. (Иначе ID
будет присвоен автоматически. )
ID разных маршрутизаторов не должны совпадать!
Пример:
Router(config-router)#router-id 10.0.0.1
ip ssh logging events
#Buffer and log level
logging buffered 25000 debugging
Конфигурирование Интерфейса
---------------------------
ip address
Режим:
Router(config-if)#
Синтаксис:
ip address ip-address mask [secondary]
no ip address
Описание:
ip-address mask : ip адрес и маска secondary вотричный адрес (может быть не один)
Пример:
Router(config-if)#ip address 192.168.10.1 255.255.255.0
bandwidth
Режим:
Router(config-if)#
Синтаксис:
bandwidth kilobits
no bandwidth
Описание:
kilobits : Пропускная способность в килобитах в секунду.
Данная команда необходима только для протоколов маршрутизации. (OSPF например).
Пример:
Router(config)#interface serial 0/0
Router(config-if)#bandwidth 1540
description
Режим:
Router(config-if)#
Синтаксис:
description string
no description
Описание:
string : Комментарий к интерфейсу.
Пример:
Router(config-if)#description 100Mb to UA-IX
encapsulation
Режим:
Router(config-if)#
Синтаксис:
encapsulation encapsulation-type
no encapsulation encapsulation-type
Описание:
encapsulation-type : Тип енкапсуляции:
- atm-dxi (ATM Mode-Data Exchange Interface)
- bstun (Block Serial Tunnel)
- frame-relay (Frame Relay, for serial interface)
- hdlc (High-Level Data Link Control protocol, for serial interface)
- isl (Inter-Switch Link, for virtual LANs)
- lapb (X.25 Link Access Procedure, Balanced, for serial interface)
- ppp (Point-to-Point, for serial interface)
- sdlc (IBM serial Systems Network Architecture (SNA))
- sdlc-secondary (IBM serial SNA (for secondary serial interface))
- slip (Specifies Serial Line Internet Protocol)
Пример:
Router(config)#interface serial 0/0
Router(config-if)#encapsulation ppp
encapsulation frame-relay
Режим:
Router(config-if)#
Синтаксис:
encapsulation frame-relay [cisco | ietf]
no encapsulation frame-relay [ietf]
Описание:
cisco : Использовать енкапсуляцию cisco.(Заголовок 4 байта: 2=DLCI + 2=тип пакета)
ietf стандарт Internet Engineering Task Force (IETF) (RFC 1490).
Пример:
Router(config)#interface serial 0/1
Router(config-if)#encapsulation frame-relay ietf
encapsulation x25
Режим:
Router(config-if)#
Синтаксис:
encapsulation x25 [dte | dce ] [ddn | bfe ] | [ietf ]
no encapsulation x25
Описание:
dte : Работать как DTE. (По умолчанию).
dce : Работать как DCE.
ddn : DDN X.25 Standard Service.
bfe : При подключении к BFE устройтсву.
ietf : Стандарт Internet Engineering Task Force (IETF) (RFC 1356).
Пример:
Router(config)#interface serial 0/1
Router(config-if)#encapsulation x25 dce
На другой стороне:
Router(config)#interface serial 0/1
Router(config-if)#encapsulation x25 dte
(dce и dte - логические, не зависят от типа оборудования)
shutdown
Режим:
Router(config-if)#
Синтаксис:
shutdown
no shutdown
Описание:
Поднять (включить) или
опустить (выключить) интерфейс.
Пример:
Router(config-if)#no shutdown
cdp enable
Режим:
Router(config-if)#
Синтаксис:
cdp enable
no cdp enable
Описание:
Включить Cisco Discovery Protocol (CDP) на интерфейсе или выключить.
Пример:
Router(config)#interface serial 0/1
Router(config-if)#no cdp enable
cdp holdtime
Режим:
Router(config)#
Синтаксис:
cdp holdtime seconds
no cdp holdtime
Описание:
seconds : Количество секунд которые устойство получившее CDP пакет
будет его хранить. (по умолчанию 180 сек.)
Значение должно быть больше чем cdp timer (период отсылки cdp пакетов).
Пример:
Router(config)#cdp holdtime 100
ip redirects
Режим:
Router(config-if)#
Синтаксис:
ip redirects
no ip redirects
Описание:
Дання команда включает отправку ICMP redirects на интерфейсе.
(если входящий пакет надо отправить в тот же интерфейс с которого он
получен)
Пример:
Router(config)#interface serial 0/0
Router(config-if)#ip redirects
clear cdp table
Режим:
Router#
Синтаксис:
clear cdp table
Описание:
Команда очищает таблицу содержащую информацию о CDP соседях.
Пример:
Router#clear cdp table
clear cdp counters
Режим:
Router#
Синтаксис:
clear cdp counters
Описание:
Очищает всю информацию (счетчики) о полученых, отправленых, ... CDP пакетах.
Посмотреть эту информацию можно выполнив команду show cdp traffic.
Пример:
Router#clear cdp counters
ip access-group
Режим:
Router(config-if)#
Синтаксис:
ip access-group access-list-number | access-list-name {in | out}
no ip access-group access-list-number | access-list-name
Описание:
access-list-number | access-list-name : Имя или название ACL
in, out : На какие пакеты будет действоавть этот ACL.
in - на те которые получены с этого интерфейса
out - те которые должны быть отправлены с этого интерфейса.
Пример:
Запрет на доступ к серверам 10.0.0.[1 - 3] всем кто подключен к serial
0/0, на всю остальную сеть 10.0.0.0/8 - запрета нет.
Router(config)#access-list 2 deny 10.0.0.1
Router(config)#access-list 2 deny 10.0.0.2
Router(config)#access-list 2 deny 10.0.0.3
Router(config)#access-list 2 permit 10.0.0.0 0.255.255.255
Router(config)#interface serial 0/0
Router(config-if)#ip access-group 2 in
Номера ACL (стандартные,расширенные, acl numbers)
Протокол IP:
Стандартные: 1 - 99
Стандартные: 1300-1999
Расширенные: 100 - 199
Расширенные: 2000 - 2699
Протокол IPX:
Стандартные: 800 - 899
Расширенные: 900 - 999
Списки доступа (Access list) ACL
access-list
Режим:
Router(config)#
Синтаксис:
Стандартный:
access-list access-list-number {deny | permit | remark line} source [source-wildcard] [log]
Расширенный:
access-list access-list-number [dynamic dynamic-name [timeout minutes]]
{deny | permit | remark line } protocol source
source-wildcard destination destination-wildcard [precedence precedence]
[tos tos] [log | log-input][time-range name]
no access-list access-list-number
Описание:
access-list-number[20] - Номер ACL списка.
dynamic dynamic-name timeout minutes - Означает что данная запись в
этом ACL будет динамической (будет ставлятся в ACL только тогда, когда
произойдет телнет на циску, и удалятся через minutes мин.
неактивности)
deny - запретить прохождение пакетов
permit - разрешить прохождение пакетов
remark line - комментарий
protocol - протокол для которого данное правило будет работать
source [source-wildcard] - источник пакетов, wild-card маска источника
destination [destination-wildcard] - получатель пакетов, wild-card
маска получателя
precedence precedence - (0..7) Первые 3-и бита поля TOS (тоже самое
можно сделать через TOS)
tos tos - (0..15) Поле TOS IPv4 пакета (Type of service)
log - Логирование на консоль (какой ACL, протокол, откуда+куда пакет пришел, ...)
log-input - Тоже что и log + интерфейс + MAC адрес отправителя
time-range name - Когда должно действовать это правило. (Смотри
команду time-range)
Пример:
Пример динамического ACL:
Router(config)#access-list 101 permit tcp 0.0.0.0 255.255.255.255
10.0.0.1 0.0.0.0 eq telnet
Router(config)#access-list 101 dynamic admin_www permit tcp 10.0.0.0
0.0.0.255 0.0.0.0 255.255.255.255 eq 80
Router(config)#access-list 101 deny ip any any
Стандартный:
Router(config)#access-list 1 permit 10.0.0.1 0.0.0.0
show access-lists
Режим:
Router#
Синтаксис:
show access-lists [access-list-number | access-list-name]
Описание:
access-list-number - Номер Access списка
access-list-name - Имя ACL (для именованых ACL)
Команда выводит состав ACL списка.
Пример:
Router#show access-lists 110
permit tcp host 10.0.0.10 any established (4304 matches)
permit udp host 10.0.0.10 any eq domain (129 matches)
permit icmp host 10.0.0.10 any
permit tcp host 10.0.0.10 host 10.0.0.11 gt 1023
permit tcp host 10.0.0.10 host 10.0.0.11 eq smtp (2 matches)
permit tcp host 10.0.0.10 host 10.0.0.12 eq smtp
clear access-list counters
Режим:
Router>
Router#
Синтаксис:
clear access-list counters {access-list-number | access-list-name}
Описание:
access-list-number - Номер Access списка
access-list-name - Имя ACL (для именованых ACL)
Команда очищает значения счетчиков списка доступа.
(Которые можно увидеть выполнив команду [21]show access-lists)
Пример:
Router#clear access-list counters 110
или
Router>clear access-list counters 110
Временные периоды (Time Range)
absolute
Режим:
Router(config-time-range)#
Синтаксис:
absolute [start time date] [end time date]
no absolute
Описание:
time :Время в 24 часовом формате.
date : Дата. (число "название месяца" год, пример: 10 december 2005)
Пример:
Router(config-time-range)#absolute 01:00 31 december 2005 01:00 1 january 2006
time-range
Режим:
Router(config)#
Синтаксис:
time-range time-range-name
no time-range time-range-name
Описание:
time-range-name : Имя временного периода.
Пример:
Router(config)#time-range DenyNight
periodic
Режим:
Router(config-time-range)#
Синтаксис:
periodic days-of-the-week hh:mm to [days-of-the-week] hh:mm
Описание:
days-of-the-week : Начало или конец временного периода.
Варианты:
Monday, Tuesday, Wednesday, Thursday, Friday, Saturday, Sunday.
Или:
daily = (Monday - Sunday),
weekdays = (Monday - Friday),
weekend = (Saturday, Sunday).
hh:mm - В 24 часовом формате
Пример:
Router(config)#time-range DenyNight
Router(config-time-range)#periodic daily 22:00 to 9:00
Маршрутизация
OSPF (Open Shortest Path First)
-------------------------------
router ospf (запуск процесса ospf)
Режим:
Router(config)#
Синтаксис:
router ospf process-id
no router ospf process-id
Описание:
process-id : Номер процесса OSPF. (любое число > 0) ( можно запустить
несколько процессов )
Пример:
Router(config)#router ospf 1
network area
Режим:
Router(config-router)#
Синтаксис:
network address wildcard-mask area area-id
no network address wildcard-mask area area-id
Описание:
address wildcard-mask : Адрес и wild-card маска сети которая будет
учавствовать в OSPF маршрутизации. ( также определяет интерфейс на
котором будет запущен OSPF )
Пример:
Router(config-router)#network 10.0.0.0 0.0.0.255 area 1
ip ospf cost
Режим:
Router(config-if)#
Синтаксис:
ip ospf cost cost
no ip ospf cost
Описание:
cost : Стоимость (метрика) маршрута (для данного интерфейса) для OSPF
маршрутизации.
(от 1 до 65535).
При отсутствии данной команды стоимость (метрика) для данного
интерфейса расчитываеться исходя из его пропускной способности. (см
команду [21]bandwidth)
Пример:
Router(config-if)#ip ospf cost 100
ip ospf priority
Режим:
Router(config-if)#
Синтаксис:
ip ospf priority number
no ip ospf priority
Описание:
number : Приоритет маршрутизатора. (от 1 до 65535).
Приоритет используется при выборе выделенного (designated)
маршретизатора. Чем выше приоритет тем больше шансов что этот
маршрутизатор станет выделенным.
Пример:
Router(config-if)#ip ospf priority 15
area
Режим:
Router(config-router)#
Синтаксис:
area area-id {
authentication [message-digest] |
stub [no-summary] |
nssa [no-redistribution] [default-information-originate] |
default-cost cost |
range address mask [advertise | not-advertise] |
virtual-link router-id
}
Описание:
area-id : Для какой зоны будут дальнейшие настройки.
authentication [message-digest] Указание того, что для данной зоны
включена авторизация. ( см. команду ip ospf authentication-key )
Если указан параметр message-digest то будет использоваться
авторизация по MD5 ключу. ( см. команду ip ospf message-digest-key )
stub [no-summary] Указывает что данная зона являеться тупиковой. В нее
не отправляються обновления о изменениях состояния каналов, а
отправляются только суммированые данные. При указании параметра
no-summary не отправляються и суммированые данные (LSA тип 3).
nssa [no-redistribution] [default-information-originate] Cisco как
обычно вставила свои 5-копеек в протокол OSPF. :-).
NSSA = not-so-stubby area. Не совсем тупиковая зона. (О как!) То же
что и stub но при этом маршрутизатор будет импортировать внешние
маршруты.
Опция default-information-originate - говорить всем что маршрут
0.0.0.0 - через меня.
default-cost cost : Указывает стоимость суммарного маршрута по
умолчанию отправляемого в тупиковую зону.
range address mask : Используеться для указания сумманого адреса и
маски на границе зоны.
пример:
Router(config-router)#area 1 range 10.0.0.1 255.255.0.0
virtual-link router-id : Если маршрутизатор не имеет прямой связи с
зоной 0 (требование протокола OSPF) но имеет соединение с (например) с
зоной 1 то зона 1 обьявляеться как "транзитная" (виртуальная).
Пример конфига (даже с авторизацией на транзитной зоне) есть тут.
Пример:
Router(config-router)#area 0 authentication message-digest
ip ospf authentication-key
Режим:
Router(config-if)#
Синтаксис:
ip ospf authentication-key password
no ip ospf authentication-key
Описание:
password : Пароль для авторизации пакетов от соседнего маршрутизатора
на котором настроена авторизация аналогичным образом.(до 8 символов).
Для включения авторизации необходимо явно указать это (для конкретной
зоны) с помощью команды area [area_num] authentication
Пример:
Router(config-if)#ip ospf authentication-key thispwd
ip ospf message-digest-key
Режим:
Router(config-if)#
Синтаксис:
ip ospf message-digest-key key-id md5 key
no ip ospf message-digest-key key-id
Описание:
Команда используеться для установки авторизационных параметров по
алгоритму MD5.
key-id : Номер ключа. (от 1 до 255).
key : Пароль (буквенно-циферный). (до 16 символов).
key-id и key ДОЛЖНЫ совпадать на соседних маршрутизаторах.
Для включения авторизации необходимо явно указать это (для конкретной
зоны) с помощью команды area [area_num] authentication
Пример:
Router(config)#interface ethernet 0/1
Router(config-if)#ip ospf message-digest-key 1 md5 coolpwd1
ip ospf network
Режим:
Router(config-if)#
Синтаксис:
ip ospf network {broadcast | non-broadcast | {point-to-multipoint [non-broadcast ]}}
no ip ospf network
Описание:
Команда указывает протоколу OSPF к камому типу сети подключен данный
интерфейс.
Пример:
Router(config-if)#ip ospf network non-broadcast
router-id
Режим:
Router(config-router)#
Синтаксис:
router-id ip-address
no router-id ip-address
Описание:
Команда необходима для явного указания ID маршрутизатора. (Иначе ID
будет присвоен автоматически. )
ID разных маршрутизаторов не должны совпадать!
Пример:
Router(config-router)#router-id 10.0.0.1
Postfix заметки
#Уменьшение количества писем за 10 мин всего 20 сообщений с одного адреса
anvil_rate_time_unit = 600s
smtpd_client_message_rate_limit = 20
Эта строка делает комуто исключение :
smtpd_client_event_limit_exceptions =
anvil_rate_time_unit = 600s
smtpd_client_message_rate_limit = 20
Эта строка делает комуто исключение :
smtpd_client_event_limit_exceptions =
Подписаться на:
Комментарии (Atom)