Архив за месяц: Апрель 2013

Cisco фильтрация по URL

8 комментариев

Заблокируем доступ Одноклассники и Вконтакте. Блокировать будем на нашем внутреннем интерфейсе Vlan100

vpn#conf t
vpn(config)#class-map match-any blocked-content
vpn(config-cmap)#match protocol http host "*vk*"
vpn(config-cmap)#match protocol http host "*odnoklassniki*"
vpn(config-cmap)#policy-map policy-blocked-content
vpn(config-pmap)#class blocked-content
vpn(config-pmap-c)#drop

vpn(config)#interface vlan 100
vpn(config-if)#ip nbar protocol-discovery
vpn(config-if)#service-policy input policy-blocked-content

Проверяем:

vpn#sh policy-map interface vlan 100 input

rSyslog server CentOS

Добавить комментарий 
[root@mng ~]#yum install httpd php mysql php-mysql mysql-server wget rsyslog rsyslog-mysql

[root@mng ~]#chkconfig --add rsyslog
[root@mng ~]#chkconfig --add mysqld
[root@mng ~]#chkconfig --add httpd
[root@mng ~]#chkconfig rsyslog on
[root@mng ~]#chkconfig httpd on
[root@mng ~]#chkconfig mysqld on
[root@mng ~]#service rsyslog start
[root@mng ~]#service mysqld start
[root@mng ~]#service httpd start

[root@mng ~]#mysqladmin -u root password P@SS$SQL

Читать далее

Защита Cisco рутера от SSH брутфорса

Добавить комментарий

 

!
login block-for 600 attempts 3 within 20
# устанавливаемзадержку в 600 секунд, если было 3 попытки входа в течение 20 секунд
login delay 5 # задержка в 5 секунд между попытками входа
login on-failure log
login on-success log
!

Настройка DMVPN на примере Cisco 2911

Добавить комментарий

Dynamic Multipoint VPN (DMVPN) — виртуальная частная сеть с возможностью динамического создания туннелей между узлами.

В основе DMVPN лежат следующие технологии:

— mGRE-туннель;

Альтернатива GRE-туннелей точка-точка ,  позволяет терминировать на себе несколько GRE-туннелей. mGRE-туннель позволяет одному GRE-интерфейсу поддерживать несколько IPsec-туннелей и упрощает количество и сложность настроек, по сравнению с GRE-туннелями точка-точка.
— NHRP (Next Hop Resolution Protocol);

клиент-серверный протокол преобразования адресов, позволяющий всем хостам, которые находятся в NBMA(Non Broadcast Multiple Access)-сети, динамически выучить NBMA-адреса (физические адреса) друг друга обращаясь к next-hop-серверу (NHS). После этого хосты могут обмениваться информацией друг с другом напрямую.
— Протоколы динамической маршрутизации;
— IPsec (IPsec profiles).

 

пример организации DMVPN с EIGRP.

DMVPN

HUB: Читать далее

Делегирование прав на перезапуск службы windows 2008

2 комментария

Необходимо дать пользователю возможность перезапускать службу MSSQL под Windows 2008 без предоставления прав администратора.

Поехали:

Узнаем текущие права на службу

PS C:\Users\lexit> sc.exe sdshow mssqlserver

D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWLOCRRC;;;IU)(A;;CCLCSWLOCRRC;;;SU)S:(AU;FA;C
CDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)
PS C:\Users\lexit>

S: — System Access Control List (SACL)
D: — Discretionary ACL (DACL)

(A, Allow)  (D, Deny).
Читать далее

Монтирование ISO образа Solaris

Добавить комментарий 
lofiadm -a /path/to/iso/iso1.iso /dev/lofi/1
mount -F hsfs -o ro /dev/lofi/1 /mnt

— -a — добавить
— /path/to/iso/iso1.iso — полное имя iso-образа, включая путь к нему
— /dev/lofi/1 — первое свободное устройство может так же быть: /dev/lofi/2, /dev/lofi/3, /dev/lofi/4…
— -F hsfs — тип монтируемой файловой системы
— -o ro — монтировать только для чтения

Отмонтировать:

cd /
umount /mnt
lofiadm -d /path/to/iso/iso1.iso

Cisco DMVPN переключение туннеля при падении канала

1 комментарий 
ip sla 101
  icmp-echo 192.168.1.1 source-interface Gi0/1
  frequency 30
ip sla schedule 101 life forever start-time now

ip sla 102
  icmp-echo 192.168.2.1 source-interface Gi0/2
  frequency 30
ip sla schedule 102 life forever start-time now

track 101 ip sla 101
 delay down 10 up 10
track 102 ip sla 102
 delay down 10 up 10

event manager applet ISP1-DOWN
  event track 101 state down
  action 0.9 cli command "enable"
  action 1.0 cli command "conf t"
  action 1.1 cli command "int tu0"
  action 1.2 cli command "tunnel source Gi 0/1"

event manager applet ISP1-UP
  event track 101 state up
  action 0.9 cli command "enable"
  action 1.0 cli command "conf t"
  action 1.1 cli command "int tu0"
  action 1.2 cli command "tunnel source Gi 0/2"