DRON-ANARCHY
21.06.2005, 19:26
Может это, конечно и оффтоп...не знаю. Но может кому-нибудь пригодиться:)
! Определение правила myfw
! При этом Java-апплеты разрешены в соответствии
! со списком доступа 51
!
ip inspect name myfw cuseeme timeout 3600
ip inspect name myfw ftp timeout 3600
ip inspect name myfw http java-list 51 timeout 3600
ip inspect name myfw rcmd timeout 3600
ip inspect name myfw realaudio timeout 3600
ip inspect name myfw smtp timeout 3600
ip inspect name myfw tftp timeout 30
ip inspect name myfw udp timeout 15
ip inspect name myfw tcp timeout 3600
ip inspect name myfw rpc program-number 100003
ip inspect name myfw rpc program-number 100005
ip inspect name myfw rpc program-number 100021
!
! Применение правила myfw к трафику, входящему на Ethernet0
! Также добавлен 101 список. Весь трафик, пропущенный
! данным списком будет анализироваться CBAC
!
interface Ethernet0
ip address 172.19.139.253 255.255.255.0
ip broadcast-address 172.19.139.255
no ip directed-broadcast
no ip proxy-arp
ip inspect myfw in
ip access-group 101 in
no ip route-cache
no cdp enable
!
! Конфигурация Serial0 включает 111 список доступа для входящего трафика
! При проверке CBAC трафика исходящего из сети будут создаваться
! временные разрешения, добавляемые к этому списку
!
interface Serial0
ip unnumbered Ethernet0
ip access-group 111 in
no ip route-cache
bandwidth 56
no cdp enable
!
ip classless
ip route 0.0.0.0 0.0.0.0 Serial0
!
! Список 51 определяет "дружественные" and "hostile" сайты для Java-апплетов
!
access-list 51 deny 172.19.1.203
access-list 51 deny 172.19.2.147
access-list 51 permit 172.19.140.0 0.0.0.255
access-list 51 permit 192.168.1.0 0.0.0.255
access-list 51 deny any
!
! Список 101 применен выше к интерфейсу Ethernet0.
! Он разрешает трафик, анализируемый CBAC а также
! обеспечивает anti-spoofing.
!
access-list 101 permit tcp 172.19.139.0 0.0.0.255 any
access-list 101 permit udp 172.19.139.0 0.0.0.255 any
access-list 101 permit icmp 172.19.139.0 0.0.0.255 any
access-list 101 deny ip any any
!
! Список 111 применен к интерфейсу Serial0 и фильтрует трафик,
! приходящий снаружи.
! При функционировании CBAC временные разрешения могут
! добавляться к началу данного списка, чтобы пропустить
! обратный трафик извне.
! Этот список ограничивает трафик, анализируемый CBAC
!
! Нижеперечисленные статические правила демонстрируют хороший стиль защиты
!
! Anti-spoofing.
access-list 111 deny ip 172.19.139.0 0.0.0.255 any
! Порт 22 для SSH... зашифрован, поэтому разрешить вход
access-list 111 permit tcp 172.19.140.1 host 172.19.139.2 eq 22
! Динамическая маршрутизация EIGRP разрешена
access-list 111 permit igrp any any
! Разрешить administratively-prohibited для ICMP
access-list 111 permit icmp any 172.19.139.0 0.0.0.255 administratively-prohibited
! Разрешить ping сети удаленным администраторам
access-list 111 permit icmp any 172.19.139.0 0.0.0.255 echo
! Разрешить возврат echo-reply для исходящего ping
access-list 111 permit icmp any 172.19.139.0 0.0.0.255 echo-reply
! ICMP может получить сообщение типа packet too-big
access-list 111 permit icmp any 172.19.139.0 0.0.0.255 packet-too-big
! Исходящая трассировка требует возврата сообщений типа time-exceeded
access-list 111 permit icmp any 172.19.139.0 0.0.0.255 time-exceeded
! Разрешена трассировка
access-list 111 permit icmp any 172.19.139.0 0.0.0.255 traceroute
! Разрешены ответы по ICPM типа unreachables
access-list 111 permit icmp any 172.19.139.0 0.0.0.255 unreachable
! Разрешен доступ по Telnet для избранных
access-list 111 permit tcp 172.19.140.32 0.0.0.31 host 172.19.139.1 eq telnet
! Запретить все остальное
access-list 111 deny ip any any
!
no cdp run
snmp-server community <elided> RO
!
line con 0
exec-timeout 0 0
password <elided>
login local
* * * *
!
scheduler interval 500
end
! Определение правила myfw
! При этом Java-апплеты разрешены в соответствии
! со списком доступа 51
!
ip inspect name myfw cuseeme timeout 3600
ip inspect name myfw ftp timeout 3600
ip inspect name myfw http java-list 51 timeout 3600
ip inspect name myfw rcmd timeout 3600
ip inspect name myfw realaudio timeout 3600
ip inspect name myfw smtp timeout 3600
ip inspect name myfw tftp timeout 30
ip inspect name myfw udp timeout 15
ip inspect name myfw tcp timeout 3600
ip inspect name myfw rpc program-number 100003
ip inspect name myfw rpc program-number 100005
ip inspect name myfw rpc program-number 100021
!
! Применение правила myfw к трафику, входящему на Ethernet0
! Также добавлен 101 список. Весь трафик, пропущенный
! данным списком будет анализироваться CBAC
!
interface Ethernet0
ip address 172.19.139.253 255.255.255.0
ip broadcast-address 172.19.139.255
no ip directed-broadcast
no ip proxy-arp
ip inspect myfw in
ip access-group 101 in
no ip route-cache
no cdp enable
!
! Конфигурация Serial0 включает 111 список доступа для входящего трафика
! При проверке CBAC трафика исходящего из сети будут создаваться
! временные разрешения, добавляемые к этому списку
!
interface Serial0
ip unnumbered Ethernet0
ip access-group 111 in
no ip route-cache
bandwidth 56
no cdp enable
!
ip classless
ip route 0.0.0.0 0.0.0.0 Serial0
!
! Список 51 определяет "дружественные" and "hostile" сайты для Java-апплетов
!
access-list 51 deny 172.19.1.203
access-list 51 deny 172.19.2.147
access-list 51 permit 172.19.140.0 0.0.0.255
access-list 51 permit 192.168.1.0 0.0.0.255
access-list 51 deny any
!
! Список 101 применен выше к интерфейсу Ethernet0.
! Он разрешает трафик, анализируемый CBAC а также
! обеспечивает anti-spoofing.
!
access-list 101 permit tcp 172.19.139.0 0.0.0.255 any
access-list 101 permit udp 172.19.139.0 0.0.0.255 any
access-list 101 permit icmp 172.19.139.0 0.0.0.255 any
access-list 101 deny ip any any
!
! Список 111 применен к интерфейсу Serial0 и фильтрует трафик,
! приходящий снаружи.
! При функционировании CBAC временные разрешения могут
! добавляться к началу данного списка, чтобы пропустить
! обратный трафик извне.
! Этот список ограничивает трафик, анализируемый CBAC
!
! Нижеперечисленные статические правила демонстрируют хороший стиль защиты
!
! Anti-spoofing.
access-list 111 deny ip 172.19.139.0 0.0.0.255 any
! Порт 22 для SSH... зашифрован, поэтому разрешить вход
access-list 111 permit tcp 172.19.140.1 host 172.19.139.2 eq 22
! Динамическая маршрутизация EIGRP разрешена
access-list 111 permit igrp any any
! Разрешить administratively-prohibited для ICMP
access-list 111 permit icmp any 172.19.139.0 0.0.0.255 administratively-prohibited
! Разрешить ping сети удаленным администраторам
access-list 111 permit icmp any 172.19.139.0 0.0.0.255 echo
! Разрешить возврат echo-reply для исходящего ping
access-list 111 permit icmp any 172.19.139.0 0.0.0.255 echo-reply
! ICMP может получить сообщение типа packet too-big
access-list 111 permit icmp any 172.19.139.0 0.0.0.255 packet-too-big
! Исходящая трассировка требует возврата сообщений типа time-exceeded
access-list 111 permit icmp any 172.19.139.0 0.0.0.255 time-exceeded
! Разрешена трассировка
access-list 111 permit icmp any 172.19.139.0 0.0.0.255 traceroute
! Разрешены ответы по ICPM типа unreachables
access-list 111 permit icmp any 172.19.139.0 0.0.0.255 unreachable
! Разрешен доступ по Telnet для избранных
access-list 111 permit tcp 172.19.140.32 0.0.0.31 host 172.19.139.1 eq telnet
! Запретить все остальное
access-list 111 deny ip any any
!
no cdp run
snmp-server community <elided> RO
!
line con 0
exec-timeout 0 0
password <elided>
login local
* * * *
!
scheduler interval 500
end