ACL доступа к Cisco и логирование событий

И так ниже представлен пример создания ACL для доступа к Cisco по snmp и telnet  , для того что б в лог попадали все неудачные соединения по данным портам мы вводим в конце ACL  deny   any log — что и говорит о том , что блокировать все остальных и писать  в лог файл .

access-list 10 permit 172.X.X.X
access-list 10 deny   any log
access-list 23 permit X.X.X.X 0.0.0.255
access-list 23 permit X.X.X.X 0.0.0.255
access-list 23 permit X.X.X.X 0.0.0.255
access-list 23 permit X.X.X.X 0.0.0.255
access-list 23 deny   any log
no cdp run
!
snmp-server community public RO 10

 

 

line vty 0 4
 session-timeout 35791 
 access-class 23 in
 exec-timeout 28800 0

 

После чего , если у вас Cisco имеет внешний адрсем , в лог будут сыпаться все неудачные коннекты .

 

#sh logging

 Jul 13 05:30:28.515: %SEC-6-IPACCESSLOGNP: list 23 denied 0 0.0.0.0 -> 92.96.121.145, 1 packet 
Jul 13 05:30:56.989: %SEC-6-IPACCESSLOGNP: list 23 denied 0 0.0.0.0 -> 2.51.247.174, 1 packet 
Jul 13 05:32:04.598: %SEC-6-IPACCESSLOGNP: list 23 denied 0 0.0.0.0 -> 92.96.8.132, 1 packet 
Jul 13 05:36:41.911: %SEC-6-IPACCESSLOGNP: list 23 denied 0 0.0.0.0 -> 2.51.247.174, 1 packet 
Jul 13 05:37:41.915: %SEC-6-IPACCESSLOGNP: list 23 denied 0 0.0.0.0 -> 92.96.8.132, 1 packet 
Jul 13 05:43:55.723: %SEC-6-IPACCESSLOGNP: list 23 denied 0 0.0.0.0 -> 92.96.146.31, 1 packet 
Jul 13 05:46:32.245: %SEC-6-IPACCESSLOGNP: list 23 denied 0 0.0.0.0 -> 2.51.206.128, 1 packet 
Jul 13 05:57:59.376: %SEC-6-IPACCESSLOGNP: list 23 denied 0 0.0.0.0 -> 85.102.158.107, 1 packet 
Jul 13 06:04:19.668: %SEC-6-IPACCESSLOGNP: list 23 denied 0 0.0.0.0 -> 92.96.227.84, 1 packet 
Jul 13 06:07:31.013: %SEC-6-IPACCESSLOGNP: list 23 denied 0 0.0.0.0 -> 86.96.63.75, 1 packet 
Jul 13 06:07:42.029: %SEC-6-IPACCESSLOGNP: list 23 denied 0 0.0.0.0 -> 60.191.239.231, 5 packets 
Jul 13 06:14:54.289: %SEC-6-IPACCESSLOGNP: list 23 denied 0 0.0.0.0 -> 222.155.3.121, 1 packet 
Jul 13 06:19:08.809: %SEC-6-IPACCESSLOGNP: list 23 denied 0 0.0.0.0 -> 122.57.95.45, 1 packet 
Jul 13 06:30:35.361: %SEC-6-IPACCESSLOGNP: list 23 denied 0 0.0.0.0 -> 210.51.44.41, 1 packet 
Jul 13 06:35:42.136: %SEC-6-IPACCESSLOGNP: list 23 denied 0 0.0.0.0 -> 210.51.44.41, 2 packets 


.

Если необходимо просмотреть ACL :

#show access-lists

Если необходимо удалить одну строку из ACL :

(conf t)#ip access-list 23

( config-std-nacl)#no 70

 

Все неудачные попытки обратится к telnet и snmp будут зафиксированы . Далее можно пойти дальше , анализировать логи Cisco которые будут валится через syslog и к примеру выявлять злостных нарушителей спокойствия .

И еще один момент относительно листов доступа , Cisco по умолчанию примеряет листы доступа только к тем пакетам которые проходят через интерфейс , к адресам самого же интерфейса на который вешается данный лист не применяется , а у Juniper наоборот применяется .

И листы доступа вешаются  на интерфейс относительно интерфейса ( то есть если необходимо повесить лист на входящий трафик , лист доступа надо вешать на out трафик )