Главная страница
О проекте Навигация Контакт
Поиск


ru.cisco

 
 - RU.CISCO ---------------------------------------------------------------------
 From : Mark A Bernadiner                    2:5020/400     24 Dec 2002  09:06:09
 To : Dmitry Melekhov
 Subject : Re: PIX, access list, connection refused
 -------------------------------------------------------------------------------- 
 
 
 "Dmitry Melekhov" <dm@belkam.com> сообщил/сообщила в новостях следующее:
 news:48f1f058.0212230311.320d67@posting.google.com...
 
 >
 > Привет!
 >
 > Имеется Cisco PIX, доступ к которому изнутри запрещен тамошними аксесс
 
 листами.
 
 > И все бы хорошо, но на попытку выхода наружу он отзывается connection
 
 refused
 
 >
 > [dm@dm dm]$ telnet www.redhat.com 80
 > Trying 66.187.232.56...
 > telnet: connect to address 66.187.232.56: Connection refused
 >
 > [root@dm root]# tcpdump port 80
 > tcpdump: listening on eth0
 > 13:12:43.045681 dm.p98.belkam.com.43103 > www.redhat.com.http: S
 > 2550066434:2550066434(0) win 5840 <mss 1460,sackOK,timestamp 43937899
 > 0,nop,wscale 0> (DF) [tos 0x10]
 > 13:12:43.049581 www.redhat.com.http > dm.p98.belkam.com.43103: R
 > 0:0(0) ack 2550066435 win 5840 <mss 1460,sackOK,timestamp 43937899
 > 0,nop,wscale 0> (DF) [tos 0x10]
 >
 > Что приводит в ступор людей, занимающихся безопасностью, когда
 > они рассматривают netflow на внутренних кисках.
 > Можно ли как-нить сие пофиксить? :-)
 
 Hе понятно, что и почему кого смущает...
 Уточни...
 
 У меня это выглядит так:
 
 > telnet www.redhat.com 80
 
 Trying 66.187.232.56...
 и через пару минут:
 telnet: connect to address 66.187.232.56: Connection timed out
 
 >
 
 # tcpdump port 80
 tcpdump: listening on eth0
 08:57:13.369668 z212.zmz.chel.su.32771 > www.redhat.com.http: S
 776910111:776910
 111(0) win 5840 <mss 1460,sackOK,timestamp 688076 0,nop,wscale 0> (DF) [tos
 0x10
 ]
 08:57:16.365954 z212.zmz.chel.su.32771 > www.redhat.com.http: S
 776910111:776910
 111(0) win 5840 <mss 1460,sackOK,timestamp 688376 0,nop,wscale 0> (DF) [tos
 0x10
 ]
 08:57:22.365948 z212.zmz.chel.su.32771 > www.redhat.com.http: S
 776910111:776910
 111(0) win 5840 <mss 1460,sackOK,timestamp 688976 0,nop,wscale 0> (DF) [tos
 0x10
 ]
 08:57:34.365963 z212.zmz.chel.su.32771 > www.redhat.com.http: S
 776910111:776910
 111(0) win 5840 <mss 1460,sackOK,timestamp 690176 0,nop,wscale 0> (DF) [tos
 0x10
 ]
 08:57:58.365956 z212.zmz.chel.su.32771 > www.redhat.com.http: S
 776910111:776910
 111(0) win 5840 <mss 1460,sackOK,timestamp 692576 0,nop,wscale 0> (DF) [tos
 0x10
 ]
 08:58:46.365964 z212.zmz.chel.su.32771 > www.redhat.com.http: S
 776910111:776910
 111(0) win 5840 <mss 1460,sackOK,timestamp 697376 0,nop,wscale 0> (DF) [tos
 0x10
 ]
 
 Это уже не поставит их в ступор?
 Если access-list запрещает этот пакет то PIX
 может либо уведомить отправителя об этом (т.е. послать его... (8-))),
 либо может просто скромно промолчать...
 
 Может второй вариант лучше для легко входящих в ступор?(8-))
 Какая PIX, есть шифрованные соединения?
 
 --
 Mark A Bernadiner    +7 (35136) 96087
 E-mail:  mark@zmz.chel.su
 http://www.mark.zlatoust.ru
 --- ifmail v.2.15dev5
  * Origin: Demos online service (2:5020/400)

Вернуться к списку тем, сортированных по: возрастание даты  уменьшение даты  тема  автор 

 Тема:    Автор:    Дата:  
 PIX, access list, connection refused   Dmitry Melekhov   23 Dec 2002 15:12:02 
 Re: PIX, access list, connection refused   Mark A Bernadiner   24 Dec 2002 09:06:09 
Архивное /ru.cisco/657707dfe688.html, оценка 2 из 5, голосов 10
Яндекс.Метрика
Valid HTML 4.01 Transitional