10-04-2012 09:36 PM
Mi red es Cisco, tengo un roture que recibe los proveedores de internet después del roture tengo un switch y después el firewall. Me están haciendo ataques permanentemente y llega a un momento que generan negación de servicio, en el firewall, para contrarrestar un poco trate de hacer unas ACL en la interfaz WAN del roture funciona bien de entrada mi red pero desde mi LAN no sale nada. Lo que hice fue prácticamente colocar las reglas del firewall en la interfaz wan del roture.
Necesito la ayuda de alguien.
Gracias.
Sent from Cisco Technical Support iPhone App
10-06-2012 12:53 AM
HI Gracias,
¿Cuál es la ACL que han puesto en la interfaz WAN?. Para prevenir de ataque de denegación de servicios que usted necesita tener una fuerte restricción en la interfaz de conexión ISP de su router y su interfaz externa de su firewall. También usted puede tener la IP verificar camino inverso y el proxy arp configurado para todas las interfaces en el servidor de seguridad. Usted puede tener la ACL que debe estar apuntando en dirección a la interfaz, pero se asegura de que el router actuará como estado. Su debe permitir por tanto la dirección. He utilizado el traductor de google por favor, perdóname si mis palabras son mal en español.
Por favor, tasa si la información dada ayuda.
por
Karthik
10-07-2012 07:56 AM
Gracias por tu colaboración
La ACL que estoy aplicando es la siguiente
configuracion de la interfaz
interface FastEthernet0/0
ip address 10.10.1.5 255.255.255.0
ip access-group FILTRO_INTERNET_INTERFAZ_WAN in
ip access-list extended FILTRO_INTERNET_INTERFAZ_WAN
remark -
remark NEGAR IPS
deny ip host 190.255.219.170 any
remark -
remark BGP_COLUMBUS
permit tcp host 190.200.40.153 eq bgp host 190.200.40.154
permit tcp host 190.200.40.153 host 190.200.40.154 eq bgp
remark -
remark BGP_LEVEL_3
permit tcp host 10.10.1.2 eq bgp host 10.10.1.5
permit tcp host 10.10.1.2 host 10.10.1.5 eq bgp
remark -
remark POLITICA_CONSULTA_EXTERNA_DNS
permit udp any host 64.76.97.56 eq domain
permit udp any eq domain host 64.76.97.56
permit tcp any host 64.76.97.56 eq domain
permit tcp any eq domain host 64.76.97.56
permit udp any host 64.76.97.57 eq domain
permit udp any eq domain host 64.76.97.57
permit tcp any host 64.76.97.57 eq domain
permit tcp any eq domain host 64.76.97.57
remark -
remark POLITICA_RECEPCION_CORREO_BARRACUDAS
permit tcp any host 64.76.97.6 eq smtp
permit tcp any host 64.76.97.7 eq smtp
remark -
remark POLITICA_EDI
permit tcp host 193.106.119.7 host 64.76.97.56 eq 22
permit tcp host 193.109.119.16 host 64.76.97.57 eq 22
remark -
remark POLITICA_FTP_PUBLICO
permit tcp any host 64.76.97.56 eq ftp
permit tcp any host 64.76.97.56 eq ftp-data established
remark -
remark POLITICA_MEGAPORT
permit tcp host 70.167.181.70 host 64.76.97.15 eq 8200
remark -
remark POLITICA_CLIENTES_EXTERNOS
permit tcp any 64.76.97.32 0.0.0.31 eq www
permit tcp any 64.76.97.32 0.0.0.31 eq 8080
permit tcp any 64.76.97.32 0.0.0.31 eq 8081
permit tcp any 64.76.97.32 0.0.0.31 eq 8444
permit tcp any 64.76.97.32 0.0.0.31 eq 443
remark -
remark POLITICA_CONEXION_VPN_NORTEL
permit tcp any host 64.76.97.3 eq 1443
permit tcp any host 64.76.97.3 eq 500
permit udp any host 64.76.97.3 eq isakmp
permit gre any host 64.76.97.3
permit esp any host 64.76.97.3
permit ahp any host 64.76.97.3
remark -
remark TODO_LO_DEMAS_ESTA_BLOQUEADO
deny ip any any
dicha access list la aplico en la interfaz WAN
La topología es la siguiente adjunta.
Aqui, les voy a detallar en esta imagen un poco mas la topologia, el router donde se esta aplicando la ACL es el RTR-INTERNET en la interfaz Fa0/0 y la aplico como IN, despues que aplico la ACL lo que estan encerrado en negro que pertenecen a la INTERNET puedelln llegar a los servicios que estan encerrado en naranaja (Mi capa de INERNET) y verde (Mi capa de DMZ). Pero los que estan encerrado en rojo no pueden llegar a lada de lo que esta encerrado en NEGRO.
En las capas VERDE manejo una subred de ip publicas al igual en la capa NARANJA. En la LAN que es la de color AZUL si manejo direcciones ip privadas y el FIREWALL hace el NAT.
Gracias. Saludos
Discover and save your favorite ideas. Come back to expert answers, step-by-step guides, recent topics, and more.
New here? Get started with these tips. How to use Community New member guide