Toon posts:

[cisco+acl+nt+pdc] klopt dit

Pagina: 1
Acties:

donderdag 21 augustus 2003 21:08

Acties:
  • Duinkonijn
  • Registratie: Augustus 2001
  • Laatst online: 16:32

Duinkonijn

Huh?

Topicstarter
Hoi,

Ik wil morgen op me stage ACL`s gaan toepassen nu heb ik na een dag hard ploeteren de volgende list gemaakt
met behulp van de volgende bronnen
symantec & microsoft

het bestaat uit netwerk a. 12.4.24.* en netwerk b 12.4.24.*
op netwerk B staan de servers
1x NT pdc+norton anti virus server
1x NT bdc+exchange5.5+norton anti virus server
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61

access-list 200 permit icmp any 12.4.24.0 0.0.255.255
access-list 200 permit icmp any 12.4.16.0 0.0.255.255
access-list 200 permit tcp any 12.4.16.0 0.0.255.255 eq 25
access-list 200 permit tcp any 12.4.24.0 0.0.255.255 eq 25
access-list 200 permit tcp any 12.4.16.0 0.0.255.255 eq 42
access-list 200 permit tcp any 12.4.24.0 0.0.255.255 eq 42
access-list 200 permit tcp any 12.4.16.0 0.0.255.255 eq 102
access-list 200 permit tcp any 12.4.24.0 0.0.255.255 eq 102
access-list 200 permit tcp any 12.4.16.0 0.0.255.255 eq 135
access-list 200 permit tcp any 12.4.24.0 0.0.255.255 eq 135
access-list 200 permit tcp any 12.4.16.0 0.0.255.255 eq 137
access-list 200 permit tcp any 12.4.24.0 0.0.255.255 eq 137
access-list 200 permit tcp any 12.4.16.0 0.0.255.255 eq 139
access-list 200 permit tcp any 12.4.24.0 0.0.255.255 eq 139
access-list 200 permit tcp any 12.4.16.0 0.0.255.255 eq 143
access-list 200 permit tcp any 12.4.24.0 0.0.255.255 eq 143
access-list 200 permit tcp any 12.4.16.0 0.0.255.255 eq 993
access-list 200 permit tcp any 12.4.24.0 0.0.255.255 eq 993
access-list 200 permit tcp any 12.4.16.0 0.0.255.255 eq 636
access-list 200 permit tcp any 12.4.24.0 0.0.255.255 eq 636
access-list 200 permit tcp any 12.4.16.0 0.0.255.255 eq 110
access-list 200 permit tcp any 12.4.24.0 0.0.255.255 eq 110
access-list 200 permit tcp any 12.4.16.0 0.0.255.255 eq 995
access-list 200 permit tcp any 12.4.24.0 0.0.255.255 eq 995
access-list 200 permit tcp any 12.4.16.0 0.0.255.255 eq 119
access-list 200 permit tcp any 12.4.24.0 0.0.255.255 eq 119
access-list 200 permit tcp any 12.4.16.0 0.0.255.255 eq 563
access-list 200 permit tcp any 12.4.24.0 0.0.255.255 eq 563
access-list 200 permit tcp any 12.4.16.0 0.0.255.255 eq 445
access-list 200 permit tcp any 12.4.24.0 0.0.255.255 eq 445
access-list 200 permit tcp any 12.4.16.0 0.0.255.255 eq 88
access-list 200 permit tcp any 12.4.24.0 0.0.255.255 eq 88
access-list 200 permit tcp any 12.4.16.0 0.0.255.255 eq 389
access-list 200 permit tcp any 12.4.24.0 0.0.255.255 eq 889
access-list 200 permit tcp any 12.4.16.0 0.0.255.255 eq 80
access-list 200 permit tcp any 12.4.24.0 0.0.255.255 eq 80


access-list 200 permit udp any 12.4.24.0 0.0.255.255 eq 53
access-list 200 permit udp any 12.4.16.0 0.0.255.255 eq 53
access-list 200 permit udp any 12.4.24.0 0.0.255.255 eq 67
access-list 200 permit udp any 12.4.16.0 0.0.255.255 eq 67
access-list 200 permit udp any 12.4.24.0 0.0.255.255 eq 68
access-list 200 permit udp any 12.4.16.0 0.0.255.255 eq 68
access-list 200 permit udp any 12.4.24.0 0.0.255.255 eq 137
access-list 200 permit udp any 12.4.16.0 0.0.255.255 eq 137
access-list 200 permit udp any 12.4.24.0 0.0.255.255 eq 138
access-list 200 permit udp any 12.4.16.0 0.0.255.255 eq 138
access-list 200 permit udp any 12.4.24.0 0.0.255.255 eq 445
access-list 200 permit udp any 12.4.16.0 0.0.255.255 eq 445
access-list 200 permit udp any 12.4.24.0 0.0.255.255 eq 500
access-list 200 permit udp any 12.4.16.0 0.0.255.255 eq 500
access-list 200 permit udp any 12.4.24.0 0.0.255.255 eq 88
access-list 200 permit udp any 12.4.16.0 0.0.255.255 eq 88

access-list 200 permit ip any 12.4.24.0 0.0.255.255 eq 50
access-list 200 permit ip any 12.4.16.0 0.0.255.255 eq 50
access-list 200 permit ip any 12.4.24.0 0.0.255.255 eq 51
access-list 200 permit ip any 12.4.16.0 0.0.255.255 eq 51
access-list 200 permit ip any 12.4.24.0 0.0.255.255 eq 46
access-list 200 permit ip any 12.4.16.0 0.0.255.255 eq 46


kan iemand me zeggen of ik nog poort nummers mis?

het is nog al een grote groep gebruikers... en ik wil het graag overleven.

ik had van een derde gehoord dat computers per connectie lokaal andere poorten gebruikt. kan dit nog wat uit maken?

ip`s verschillen van het orgineel :)

Het is makkelijk om iemand zijn negatieve eigenschappen te benoemen, maar kan je ook de positieve eigenschappen benoemen?

donderdag 21 augustus 2003 21:22

Acties:
  • Flyduck
  • Registratie: Juni 2001
  • Laatst online: 28-03-2025

Flyduck

Ehmm er staan echt ontiegelijk veel overbodige poorten in volgens mij..
Je kan trouwens ook gewoon namen gebruiken .. zoals EQ NETBIOS etc.
Maar wat voor verkeer wil je eigenlijk tegenhouden?

Sowieso vind ik die hele access-list een beetje overbodig, want alle poorten die je normaal juist zou willen blocken die gooi je open...

[ Voor 27% gewijzigd door Flyduck op 21-08-2003 21:25 ]

Zijn er mensen die deze regel lezen? Graag terugkoppeling gewenst (onopvallend)

donderdag 21 augustus 2003 21:23

Acties:
  • Duinkonijn
  • Registratie: Augustus 2001
  • Laatst online: 16:32

Duinkonijn

Huh?

Topicstarter
Flyduck schreef op 21 augustus 2003 @ 21:22:
Ehmm er staan echt ontiegelijk veel overbodige poorten in volgens mij..
Je kan trouwens ook gewoon namen gebruiken .. zoals EQ NETBIOS etc.
Maar wat voor verkeer wil je eigenlijk tegenhouden?
alles behalve het normale netwerk verkeer.

wil wormen enz voorkomen

Het is makkelijk om iemand zijn negatieve eigenschappen te benoemen, maar kan je ook de positieve eigenschappen benoemen?

donderdag 21 augustus 2003 21:28

Acties:
  • Flyduck
  • Registratie: Juni 2001
  • Laatst online: 28-03-2025

Flyduck

HKspecialist schreef op 21 augustus 2003 @ 21:23:
[...]

alles behalve het normale netwerk verkeer.

wil wormen enz voorkomen
Je kan die access-list toch zo maken dat je via de router alleen de servers kan benaderen? Dus echt op IP specificeren...

Ik bedoel ik neem aan dat je je server wel beveiligt hebt dat er niet zomaar ff een backdoor op komt, en dan nog kan je op de router aangeven dat je bv alle poorten boven de 6000 niet doorlaat...

*EDIT* maar je access-list gaat wel werken trouwens hoor :)

[ Voor 6% gewijzigd door Flyduck op 21-08-2003 21:29 ]

Zijn er mensen die deze regel lezen? Graag terugkoppeling gewenst (onopvallend)

donderdag 21 augustus 2003 21:28

Acties:
  • elevator
  • Registratie: December 2001
  • Niet online

elevator

Officieel moto fan :)

Wormen?
Je gooit NBT volledig open, terwijl MSBlaster een NBT worm was?

En moet je trouwens geen DHCP openzetten?

donderdag 21 augustus 2003 21:30

Acties:
  • Flyduck
  • Registratie: Juni 2001
  • Laatst online: 28-03-2025

Flyduck

elevator schreef op 21 augustus 2003 @ 21:28:
Wormen?
Je gooit NBT volledig open, terwijl MSBlaster een NBT worm was?

En moet je trouwens geen DHCP openzetten?
DHCP is trouwens toch udp 67-69 ? Maar ik denk dat je een dhcp-relay agent moet gebruiken...

[ Voor 12% gewijzigd door Flyduck op 21-08-2003 21:31 ]

Zijn er mensen die deze regel lezen? Graag terugkoppeling gewenst (onopvallend)

donderdag 21 augustus 2003 21:31

Acties:
  • elevator
  • Registratie: December 2001
  • Niet online

elevator

Officieel moto fan :)

maar toch ook een broadcast ?

snel editten he :P

[ Voor 28% gewijzigd door elevator op 21-08-2003 21:31 ]

donderdag 21 augustus 2003 21:33

Acties:
  • Flyduck
  • Registratie: Juni 2001
  • Laatst online: 28-03-2025

Flyduck

elevator schreef op 21 augustus 2003 @ 21:31:
maar toch ook een broadcast ?

snel editten he :P
Hehe jah,.. maaruh een broadcast komt niet over een router heen...

Zijn er mensen die deze regel lezen? Graag terugkoppeling gewenst (onopvallend)

donderdag 21 augustus 2003 21:35

Acties:
  • Duinkonijn
  • Registratie: Augustus 2001
  • Laatst online: 16:32

Duinkonijn

Huh?

Topicstarter
Flyduck schreef op 21 August 2003 @ 21:33:
[...]


Hehe jah,.. maaruh een broadcast komt niet over een router heen...
jawel... met ip helper-address server-ip

[ Voor 6% gewijzigd door Duinkonijn op 21-08-2003 21:36 ]

Het is makkelijk om iemand zijn negatieve eigenschappen te benoemen, maar kan je ook de positieve eigenschappen benoemen?

donderdag 21 augustus 2003 21:36

Acties:
  • elevator
  • Registratie: December 2001
  • Niet online

elevator

Officieel moto fan :)

Mjah, je hebt gelijkt, niet eens aan gedacht :X

Met die ip-helper zet je wel alle broadcasts open, dus ook je browser election. Zorg ervor dat je je ip-helper voor 135-139 dichtzet (en ook dat je WINS implementeert)

[ Voor 55% gewijzigd door elevator op 21-08-2003 21:38 ]

donderdag 21 augustus 2003 21:41

Acties:
  • Flyduck
  • Registratie: Juni 2001
  • Laatst online: 28-03-2025

Flyduck

elevator schreef op 21 augustus 2003 @ 21:36:
Mjah, je hebt gelijkt, niet eens aan gedacht :X

Met die ip-helper zet je wel alle broadcasts open, dus ook je browser election. Zorg ervor dat je je ip-helper voor 135-139 dichtzet (en ook dat je WINS implementeert)
hmmm nu raak ik in de war..
Standaar laat een router geen dhcp broadcast door bedoelde ik
IP Helper-address is volgens mij een dhcp relay agent op de router instellen toch?

Zijn er mensen die deze regel lezen? Graag terugkoppeling gewenst (onopvallend)

donderdag 21 augustus 2003 21:44

Acties:
  • elevator
  • Registratie: December 2001
  • Niet online

elevator

Officieel moto fan :)

Flyduck schreef op 21 augustus 2003 @ 21:41:
hmmm nu raak ik in de war..
Standaar laat een router geen dhcp broadcast door bedoelde ik
IP Helper-address is volgens mij een dhcp relay agent op de router instellen toch?
Ja klopt, maar die forward dan nog een aantal poorten:
The ip helper-address interface subcommand tells the router to forward UDP broadcasts, including BootP, received on this interface. (UDP is the connectionless alternative to TCP at the Transport Layer.)
en dan wat ie allemaal doorstuurt:
Trivial File Transfer (TFTP)
Domain Name System
IEN-116 Name Server
Time service
NetBios Name Server
NetBios Datagram Server
Boot Protocol (BootP) client and server datagrams
TACACS service
En van die 2 in vet - die wil je niet geforward hebben.

donderdag 21 augustus 2003 21:52

Acties:
  • Duinkonijn
  • Registratie: Augustus 2001
  • Laatst online: 16:32

Duinkonijn

Huh?

Topicstarter
elevator schreef op 21 August 2003 @ 21:44:
[...]

Ja klopt, maar die forward dan nog een aantal poorten:


[...]


en dan wat ie allemaal doorstuurt:

[...]


En van die 2 in vet - die wil je niet geforward hebben.
àls ik die uit sluit.. ben ik dan nog wel in staat om aan te melden. cq
net shares aanspreken?

Het is makkelijk om iemand zijn negatieve eigenschappen te benoemen, maar kan je ook de positieve eigenschappen benoemen?

donderdag 21 augustus 2003 21:53

Acties:
  • Flyduck
  • Registratie: Juni 2001
  • Laatst online: 28-03-2025

Flyduck

Hehe ok thx elevator,...

Ennuh HKSpecialist, suc6 morgen met je access-list... En let goed op dat je hem de goeie kant op zet :)

Zijn er mensen die deze regel lezen? Graag terugkoppeling gewenst (onopvallend)

donderdag 21 augustus 2003 21:55

Acties:
  • Duinkonijn
  • Registratie: Augustus 2001
  • Laatst online: 16:32

Duinkonijn

Huh?

Topicstarter
Flyduck schreef op 21 augustus 2003 @ 21:53:
Hehe ok thx elevator,...

Ennuh HKSpecialist, suc6 morgen met je access-list... En let goed op dat je hem de goeie kant op zet :)
tnx :)

zal wel lukken. :)

Het is makkelijk om iemand zijn negatieve eigenschappen te benoemen, maar kan je ook de positieve eigenschappen benoemen?

donderdag 21 augustus 2003 21:56

Acties:
  • elevator
  • Registratie: December 2001
  • Niet online

elevator

Officieel moto fan :)

HKspecialist schreef op 21 August 2003 @ 21:52:
als ik die uit sluit.. ben ik dan nog wel in staat om aan te melden. cq
net shares aanspreken?
mjah. het gaat dus poor om forwarden van broadcast traffic wat dat betreft. Probleem is namelijk dat de browser election via een broadcast gaat. Zie de volgende scenario:

- Netwerk 1 Roept broadcast election uit.
- Router ziet broadcast en forward die naar netwerk 2
- In netwerk 2 gebeurt er een election aan de hand van broadcasts. Iemand wint daar.
- In netwerk 1, zien ze de election die op netwerk 1 gebeurt niet (omdat de andere kant uit - namelijk van netwerk 2 naar netwerk 1, de broadcasts niet geforward worden), dus ook in netwerk 1 wordt er een browser gekozen.
- Netwerk 1 roept uit "IK ben de browsemaster!"
- Netwerk 2 ontvangt die broadcast, denkt van goh. Dat was ik toch? En roept opnieuw een election uit :P

donderdag 21 augustus 2003 22:02

Acties:
  • Duinkonijn
  • Registratie: Augustus 2001
  • Laatst online: 16:32

Duinkonijn

Huh?

Topicstarter
elevator schreef op 21 augustus 2003 @ 21:56:
[...]

mjah. het gaat dus poor om forwarden van broadcast traffic wat dat betreft. Probleem is namelijk dat de browser election via een broadcast gaat. Zie de volgende scenario:

- Netwerk 1 Roept broadcast election uit.
- Router ziet broadcast en forward die naar netwerk 2
- In netwerk 2 gebeurt er een election aan de hand van broadcasts. Iemand wint daar.
- In netwerk 1, zien ze de election die op netwerk 1 gebeurt niet (omdat de andere kant uit - namelijk van netwerk 2 naar netwerk 1, de broadcasts niet geforward worden), dus ook in netwerk 1 wordt er een browser gekozen.
- Netwerk 1 roept uit "IK ben de browsemaster!"
- Netwerk 2 ontvangt die broadcast, denkt van goh. Dat was ik toch? En roept opnieuw een election uit :P
maar dat is toch in het geval van als de pdc en de bdc in 2 verschillende netwerken staan? een workstation kan toch niet als master browser

Het is makkelijk om iemand zijn negatieve eigenschappen te benoemen, maar kan je ook de positieve eigenschappen benoemen?

donderdag 21 augustus 2003 22:32

Acties:
  • elevator
  • Registratie: December 2001
  • Niet online

elevator

Officieel moto fan :)

HKspecialist schreef op 21 August 2003 @ 22:02:
maar dat is toch in het geval van als de pdc en de bdc in 2 verschillende netwerken staan? een workstation kan toch niet als master browser
Elk subnet heeft in principe een browser nodig - als er dus geen PDC of BDC is, wordt een gewone workstation browser.

donderdag 21 augustus 2003 22:46

Acties:
  • Duinkonijn
  • Registratie: Augustus 2001
  • Laatst online: 16:32

Duinkonijn

Huh?

Topicstarter
elevator schreef op 21 August 2003 @ 22:32:
[...]

Elk subnet heeft in principe een browser nodig - als er dus geen PDC of BDC is, wordt een gewone workstation browser.
mm. keek net naar MS. daar staat dat ze udp 137,138 nodig hebben voor logon
Logon Sequence UDP:137,138 TCP:139
NetLogon UDP:138

Het is makkelijk om iemand zijn negatieve eigenschappen te benoemen, maar kan je ook de positieve eigenschappen benoemen?

donderdag 21 augustus 2003 22:49

Acties:
  • elevator
  • Registratie: December 2001
  • Niet online

elevator

Officieel moto fan :)

HKspecialist schreef op 21 August 2003 @ 22:46:
mm. keek net naar MS. daar staat dat ze udp 137,138 nodig hebben voor logon
Ja, maar ze moeten wel weer de netbios records kunnen vinden om de PDC te vinden - dit doen ze dan weer door de browselist op te vragen.

iig. haal broadcast traffic (ip helper) niet door elkaar met niet broadcast traffic. Enne. Test eerst even :P

donderdag 21 augustus 2003 23:59

Acties:
  • Duinkonijn
  • Registratie: Augustus 2001
  • Laatst online: 16:32

Duinkonijn

Huh?

Topicstarter
elevator schreef op 21 August 2003 @ 22:49:
[...]

Ja, maar ze moeten wel weer de netbios records kunnen vinden om de PDC te vinden - dit doen ze dan weer door de browselist op te vragen.

iig. haal broadcast traffic (ip helper) niet door elkaar met niet broadcast traffic. Enne. Test eerst even :P
mm denk dat ik morgen ochtend ff snel ga testen :P

Het is makkelijk om iemand zijn negatieve eigenschappen te benoemen, maar kan je ook de positieve eigenschappen benoemen?

vrijdag 22 augustus 2003 08:55

Acties:
  • Duinkonijn
  • Registratie: Augustus 2001
  • Laatst online: 16:32

Duinkonijn

Huh?

Topicstarter
mm het lijkt suc6 vol. nu ff op andere plaatsen testen :P


mhaa tog niet.. kan domein niet vinden
kan geen shares aanspreken )#^$()@#_(*@#

[ Voor 48% gewijzigd door Duinkonijn op 22-08-2003 09:16 ]

Het is makkelijk om iemand zijn negatieve eigenschappen te benoemen, maar kan je ook de positieve eigenschappen benoemen?

vrijdag 22 augustus 2003 13:15

Acties:
  • elevator
  • Registratie: December 2001
  • Niet online

elevator

Officieel moto fan :)

Dan heb je vast geen WINS draaien? :)

vrijdag 22 augustus 2003 13:50

Acties:
  • Duinkonijn
  • Registratie: Augustus 2001
  • Laatst online: 16:32

Duinkonijn

Huh?

Topicstarter
elevator schreef op 22 August 2003 @ 13:15:
Dan heb je vast geen WINS draaien? :)
jawel... kan zonder acl`s gewoon alles bereiken

heb nou tcp / udp op any doel staan
en dat werkt wel... :/

Het is makkelijk om iemand zijn negatieve eigenschappen te benoemen, maar kan je ook de positieve eigenschappen benoemen?

Pagina: 1
Reageer