https://opennet.ru/openforum/vsluhforumID6/1289.html Доброго времени суток!<br><br>Для Cisco3825 решил сменить порт SSH<br><br>#&gt;conf t<br>ip ssh port 3333 rotary 1<br>line vty 0 15<br>rotary 1<br><br>Тут вопросов нет, работает.<br>Теперь хочу закрыть tcp порт 22.<br>#&gt;ip access-list extended port22dis<br> deny tcp any host x.x.x.x eq 22<br> permit ip any any<br>Применяю на нужном порту роутера:<br>int gi0/0.1<br> ip access-group port22dis in<br><br>Вот тут оказывается, что порт 22 не закрыт.<br>С удалённой машины: <br>nmap -sT x.x.x.x<br><br>Starting Nmap 6.00 ( http://nmap.org ) at 2014-03-31 02:02 UTC<br>Nmap scan report for host-x-x-x-x.some.ru (x.x.x.x)<br>Host is up (0.0043s latency).<br>Not shown: 998 closed ports<br>PORT STATE SERVICE<br>22/tcp filtered ssh<br><br>Подскажите, где я делаю ошибку?<br>Или может быть есть тонкость какая-то?<br><br><br><br> https://opennet.ru/openforum/vsluhforumID6/1289.html#14 Thu, 19 Mar 2015 15:34:53 GMT &gt; Чудеса!<br>&gt; Железка простояла с новыми настройками 1,5 дня и наконец перестала пускать по <br>&gt; ssh на 22 порту. Собственно удивляет скорость реакции на мою настройку. <br>&gt; Остаётся лишь один вопрос всем кто это читает: у вас такое было? <br>&gt; Если да, то нашли ли вы причину и смогли ли исправить? <br>&gt; Может это важно: провайдеров у меня 3, нагрузки на момент вопроса - <br>&gt; никакой, настроено BGP-соседство пока с одним провайдером (fullview).<br>&gt; Заранее спасибо.<br>&gt; ТС.<br><br>Дома 1841 работает без всяких acl, порт закрылся не сразу (подробностей не помню).<br>Только что проделал то же самое на 2951, эффект тот же - ssh отвечает по двум портам. Reload на картину не влияет... Будем подождать...<br> https://opennet.ru/openforum/vsluhforumID6/1289.html#13 Tue, 01 Apr 2014 07:14:31 GMT Чудеса!<br>Железка простояла с новыми настройками 1,5 дня и наконец перестала пускать по ssh на 22 порту. Собственно удивляет скорость реакции на мою настройку.<br>Остаётся лишь один вопрос всем кто это читает: у вас такое было? Если да, то нашли ли вы причину и смогли ли исправить?<br>Может это важно: провайдеров у меня 3, нагрузки на момент вопроса - никакой, настроено BGP-соседство пока с одним провайдером (fullview).<br><br>Заранее спасибо.<br>ТС.<br><br> https://opennet.ru/openforum/vsluhforumID6/1289.html#12 Tue, 01 Apr 2014 07:07:20 GMT &gt;&gt; по моему extended на tty нельзя применять <br>&gt;&gt;&gt; deny tcp any host x.x.x.x eq 22 <br>&gt;&gt;&gt; deny tcp any host y.y.y.y eq 22 <br>&gt;&gt;&gt; deny tcp any host z.z.z.z eq 22 <br>&gt;&gt;&gt; permit ip any any <br>&gt;&gt;&gt; Я сам не могу понять почему это не работает....<br>&gt; в первом сообщении ТС его на интерфейсе вешает <br><br>Этот acl теперь указан как access-group на интерфейсах к каждому провайдеру.<br><br> https://opennet.ru/openforum/vsluhforumID6/1289.html#11 Tue, 01 Apr 2014 07:05:45 GMT &gt; а что за железка/софт?<br>&gt;&gt; Сейчас ACL выглядит вот так: <br>&gt;&gt; #&gt;ip access-list extended port22dis <br>&gt;&gt; deny tcp any host x.x.x.x eq 22 <br>&gt;&gt; deny tcp any host y.y.y.y eq 22 <br>&gt;&gt; deny tcp any host z.z.z.z eq 22 <br>&gt;&gt; permit ip any any <br>&gt;&gt; Я сам не могу понять почему это не работает....<br><br>Cisco 3825 ISR<br> https://opennet.ru/openforum/vsluhforumID6/1289.html#10 Tue, 01 Apr 2014 05:33:10 GMT а что за железка/софт?<br><br>&gt; Сейчас ACL выглядит вот так: <br>&gt; #&gt;ip access-list extended port22dis <br>&gt; deny tcp any host x.x.x.x eq 22 <br>&gt; deny tcp any host y.y.y.y eq 22 <br>&gt; deny tcp any host z.z.z.z eq 22 <br>&gt; permit ip any any <br>&gt; Я сам не могу понять почему это не работает.... https://opennet.ru/openforum/vsluhforumID6/1289.html#9 Tue, 01 Apr 2014 05:32:32 GMT &gt; по моему extended на tty нельзя применять <br>&gt;&gt; deny tcp any host x.x.x.x eq 22 <br>&gt;&gt; deny tcp any host y.y.y.y eq 22 <br>&gt;&gt; deny tcp any host z.z.z.z eq 22 <br>&gt;&gt; permit ip any any <br>&gt;&gt; Я сам не могу понять почему это не работает....<br><br>в первом сообщении ТС его на интерфейсе вешает<br> https://opennet.ru/openforum/vsluhforumID6/1289.html#8 Tue, 01 Apr 2014 05:15:51 GMT &gt;&gt;&gt; Точно на нём.<br>&gt;&gt;&gt; Провёл экперимент, провайдеров у меня 3, и интерфейсов соответственно 3 повеис на <br>&gt;&gt;&gt; них access-group - acl запрещающий коннект на 22 порт для всех <br>&gt;&gt;&gt; 3-х. И коннектица с удалённой машины могу на все три IP.<br>&gt;&gt;&gt; :( <br>&gt;&gt; а ацл точно полностью приведен? прохладная какая-то история, что-то где-то недосказано <br>&gt; Сейчас ACL выглядит вот так: <br>&gt; #&gt;ip access-list extended port22dis <br><br>по моему extended на tty нельзя применять<br>&gt; deny tcp any host x.x.x.x eq 22 <br>&gt; deny tcp any host y.y.y.y eq 22 <br>&gt; deny tcp any host z.z.z.z eq 22 <br>&gt; permit ip any any <br>&gt; Я сам не могу понять почему это не работает.... https://opennet.ru/openforum/vsluhforumID6/1289.html#7 Tue, 01 Apr 2014 01:51:16 GMT <br>&gt;&gt; Точно на нём.<br>&gt;&gt; Провёл экперимент, провайдеров у меня 3, и интерфейсов соответственно 3 повеис на <br>&gt;&gt; них access-group - acl запрещающий коннект на 22 порт для всех <br>&gt;&gt; 3-х. И коннектица с удалённой машины могу на все три IP.<br>&gt;&gt; :( <br>&gt; а ацл точно полностью приведен? прохладная какая-то история, что-то где-то недосказано <br><br>Сейчас ACL выглядит вот так:<br>#&gt;ip access-list extended port22dis<br>deny tcp any host x.x.x.x eq 22<br>deny tcp any host y.y.y.y eq 22<br>deny tcp any host z.z.z.z eq 22<br>permit ip any any<br>Я сам не могу понять почему это не работает....<br> https://opennet.ru/openforum/vsluhforumID6/1289.html#6 Mon, 31 Mar 2014 09:46:44 GMT <br><br>&gt; Точно на нём.<br>&gt; Провёл экперимент, провайдеров у меня 3, и интерфейсов соответственно 3 повеис на <br>&gt; них access-group - acl запрещающий коннект на 22 порт для всех <br>&gt; 3-х. И коннектица с удалённой машины могу на все три IP. <br>&gt; :( <br><br>а ацл точно полностью приведен? прохладная какая-то история, что-то где-то недосказано<br>