glady 10 Geschrieben 9. Januar 2007 Melden Teilen Geschrieben 9. Januar 2007 Habe deny's drin und weiss die Auswirkung nicht: Protokoll udp Port 137 & 138 auf die Broadcastadresse des jeweiligen Netzes Protokoll udp Port 42 auf 224.0.1.24 Protokoll udp Port 67 & 68 auf die Broadcastadresse des jeweiligen Netzes Protokoll pim auf 224.0.0.13 Protokoll igmp auf 239.255.255.7/24 Protokoll igmp auf 224.0.0.0/23 Protokoll udp auf 239.255.255.250 Verschiedene Server versuchen permanent die Zugriffe teilweise auf ihre eigene Broadcast-IP, teilweise auf Multicast-IP's und werden denied. Ich kann das sehen, anhand der letzten Zeile "deny ip any any log-input". Muss ich diese Protokolle/Ports frei geben? Kann ich einfach eine Zeile vorher deny auf diese Zugriffe geben ohne log-input und danach die Zeile mit "deny ip any any log-input" schreiben? Was wäre dann die Auswirkung? Ich könnte auch erlauben, aber aus Sicherheitsgründen sollte man ja eher verbieten, da wo's geht. Danke! Glady Zitieren Link zu diesem Kommentar
fu123 10 Geschrieben 9. Januar 2007 Melden Teilen Geschrieben 9. Januar 2007 Protokoll udp Port 137 & 138 auf die Broadcastadresse des jeweiligen Netzes Protokoll udp Port 42 auf 224.0.1.24 Protokoll udp Port 67 & 68 auf die Broadcastadresse des jeweiligen Netzes Protokoll pim auf 224.0.0.13 Protokoll igmp auf 239.255.255.7/24 Protokoll igmp auf 224.0.0.0/23 Protokoll udp auf 239.255.255.250 Hi glady, alles von 224.0.0.0 - 239.255.255.255 ist Multicast. Wenn du davon etwas brauchst musst du es natuerlich erlauben. Machst du Multicast? igmp, pim sind Multicastprotokolle. 137,138 ist doch Microsoft Traffic. Ist das nicht Netbios? 67 und 68 sind bootp requests. Also Hosts die per DHCP versuchen eine Adresse zu bekommen. Fu Zitieren Link zu diesem Kommentar
fu123 10 Geschrieben 10. Januar 2007 Melden Teilen Geschrieben 10. Januar 2007 Hi nochmal, es gibt auch Multicastadressen die von Routingprotokollen benutzt werden. Aber die hatte ich in deiner Liste auch nicht gesehen. * 224.0.0.1 all hosts on a subnet * 224.0.0.2 all routers on a subnet * 224.0.0.4 Distance Vector Multicast Routing Protocols (DVMRP) * 224.0.0.5 OSPF routers * 224.0.0.6 OSPF designated routers * 224.0.0.9 RIP Version 2 routers * 224.0.0.10 EIGRP * 224.0.0.13 Protocol independent Multicast (PIM) Fu Zitieren Link zu diesem Kommentar
glady 10 Geschrieben 10. Januar 2007 Autor Melden Teilen Geschrieben 10. Januar 2007 Hi Fu! Danke für Deine Informationen. Da ich nicht weiß, ob irgendeine Anwendung auf irgendeinem Server vielleicht Multicast macht oder in Zukunft machen wird, gebe ich glaube ich vorsorglich den gesamten Multicast-Range frei. Oder spricht sicherheitstechnisch etwas dagegen? Ich bin nicht gerade der MS-Spezi. Warum versuchen die Server ständig mit den Netbios-Ports ihre Broadcast Adresse zu erreichen? Was ist die Auswirkung, wenn diese Anfragen "unterdrückt" werden (deny per ACL)? Glady Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 10. Januar 2007 Melden Teilen Geschrieben 10. Januar 2007 Den Broadcast kannste eigentlich droppen, der geht ja an alle im Netz, und was will die Cisco schon damit ;) Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.