Перейти до

Настройка Huawei S2309TP-EI (базовий захист від шторму і флуду)


Рекомендованные сообщения

Знайшов на просторах інтернету такий мануал, може хтось підкаже що з цього варто використати. Тип підключення абонентів pppoe. Частковий функціонал реалізований . Цікавить більшість:

запрет некоторых видов multicast'а, часто приводящего к шторму в сети:
224.0.0.251, 224.0.0.252, 224.0.0.253, 239.192.152.143, 239.255.255.250
порты протоколов взаимодействия между компьютерами имени Microsoft (smb):
TCP/UDP 135,137-139,445
UNPnP UDP 1900, 2869, 5000
запрет "подозрительных" MAC'ов (00:00:00:00:00:00)

Перечень необходимых настроек

запрет некоторых видов multicast'а, часто приводящего к шторму в сети:
224.0.0.251, 224.0.0.252, 224.0.0.253, 239.192.152.143, 239.255.255.250
порты протоколов взаимодействия между компьютерами имени Microsoft (smb):
TCP/UDP 135,137-139,445
UNPnP UDP 1900, 2869, 5000
запрет "подозрительных" MAC'ов (00:00:00:00:00:00)
loop-detect на клиентских портах
ограничение на broadcast/multicast (storm control)
ограничение на к-во MAC'ов на клиентском порту, защищает от подбора/использования чужих адресов.
запрет DHCP ответов с клиентских портов (UDP с порта 67).
запрет DHCPv6 ответов с клиентских портов (UDP с порта 547).
полезно использовать DHCP option 82
запрет некоторых видов multicast'а, часто приводящего к шторму в сети: 
224.0.0.251, 224.0.0.252, 224.0.0.253, 239.192.152.143, 239.255.255.250
порты протоколов взаимодействия между компьютерами имени Microsoft (smb): 
TCP/UDP 135,137-139,445
UNPnP UDP 1900, 2869, 5000
запрет "подозрительных" MAC'ов (00:00:00:00:00:00)
запрет неиспользуемых ethernet frame type. Например 
0x8863 (PPoE discovery), 0x8137 (IPX)


bpdu disable
stp disable

acl 4000
rule 11 deny source-mac 0000-0000-0000
rule 23 deny l2-protocol 0x8863
rule 24 deny l2-protocol 0x8137
quit

acl 3000
rule 41 deny udp destination-port eq 445
rule 42 deny udp destination-port range 137 139
rule 43 deny udp destination-port eq 135
rule 51 deny tcp destination-port eq 445
rule 52 deny tcp destination-port range 137 139
rule 61 deny udp source-port eq 67
quit

traffic classifier win-ports operator or
if-match acl 3000
if-match acl 4000
traffic behavior win-ports
deny
traffic policy win-ports
classifier win-ports behavior win-ports
quit

traffic classifier bad-proto operator and
if-match acl 4000
traffic behavior bad-proto
deny
traffic policy bad-proto
classifier bad-proto behavior bad-proto
quit

port-group Clients
mac-limit maximum 3
port-security max-mac-num 3
broadcast-suppression 1
multicast-suppression 1
loopback-detect enable
traffic-policy win-ports inbound
quit

port-group Uplinks
traffic-policy bad-proto inbound

Ссылка на сообщение
Поделиться на других сайтах
  • 4 weeks later...
stp enable
#
 bpdu disable
#
 undo http server enable
#
 drop illegal-mac alarm
#
acl number 3000  
 rule 41 deny udp destination-port eq 445 
 rule 42 deny udp destination-port range netbios-ns netbios-ssn 
 rule 43 deny udp destination-port eq 135 
 rule 51 deny tcp destination-port eq 445 
 rule 52 deny tcp destination-port range 137 139 
 rule 61 deny udp source-port eq bootps 
#
acl number 4000  
 rule 11 deny source-mac 0000-0000-0000
 rule 23 deny l2-protocol 0x8863
 rule 24 deny l2-protocol 0x8137
#
traffic classifier bad-proto operator and
 if-match acl 4000
traffic classifier win-ports operator or 
 if-match acl 3000
 if-match acl 4000
#
traffic behavior bad-proto
 deny
traffic behavior win-ports
 deny
#
traffic policy bad-proto
 classifier bad-proto behavior bad-proto
traffic policy win-ports
 classifier win-ports behavior win-ports
#
настройки порта
interface Ethernet0/0/1
 port hybrid pvid vlan 42
 undo port hybrid vlan 1
 port hybrid untagged vlan 42
 mac-limit maximum 2
 loopback-detect recovery-time 30
 loopback-detect packet vlan 42
 loopback-detect enable
 traffic-policy win-ports inbound
  port-isolate enable group 1
 multicast-suppression 1
 broadcast-suppression 1

 

Можно было б еще использовать dhcp snooping, option82,   ip source check user-bind , arp anti-attack check user-bind но вам оно с пппое не нужно.

 

П.С.

А да свичег с такими настройками будет у вас грузиться как 386 писюк с 95 виндой минуты 3. так что не пугайтесь. Ж)

Відредаговано FTTH_VN
Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
×
×
  • Створити нове...