der runde würfel

28. Mai 2011

Cisco PIX Low-Profile Memory

Kategorie: Computer,Privat — Schlagwörter: , , , , , , , , , , , , — bigfoot @ 11:29

Grr. Derzeit ist meine PIX 515E mit 128 MB Speicher ausgestattet. Das reicht prinzipiell auch. Doch ich habe hier noch weiteren Speicher liegen. Darunter befinden sich auch 128 MB Speicherriegel für Cisco. Da ich derzeit dafür keine Verwendung habe, dachte ich mir, die könnte ich ja in die PIX schrauben. Sogleich die selben aus dem Gehäuse gedreht und die beiden 128 MB Speicherriegel in die Slot gesteckt. Ein Test Start und siehe da, 256 MB.

Also wieder zusammenbauen. Naja, jetzt sind wieder 128 MB drin, denn in die PIX passen nur Low-Profile Speicherriegel. Und davon habe ich nur eine Handvoll 64 MB Riegel. Naja, hat ja auch mir 128 MB funktioniert.

24. Mai 2011

Cisco PIX 515-E vs. Cisco ASA 5520

Kategorie: Computer,Haus,Privat — Schlagwörter: , , , , , , , , , , , , , — bigfoot @ 03:13

Wenn ich mir so meine Pix ansehe, dann denke ich oft daran, mal upzudaten. Doch die ASA5520 kostet mal gleich 4.800 Euro. Nen Batzen Kohle und meine Pix hat eigentlich Power genug. Sogar die VAC+ Karte habe ich Ihr spendiert. Mit 185 M/Bit Firewall Durchsatz, auch nicht gerade langsam. im Rahmen meiner Überarbeitung unseres Netzwerkes zu Hause, hätte ich aber gerne zwei Gigabit Schnittstellen.

Die ASA 5520 hat bereits Standard 4x Gigabit Netzwerkschnittstellen und schafft 450 M/Bit an Firewall Durchsatz. Doch in Anbetracht der Kosten, muss ich mich wohl mit den beiden 100 M/Bit Schnittstellen in der Pix abfinden. Oder gibt es Nutzbare Dual Gigabit Netzwerkkarten, die zwar offiziell nicht Supportet werden, aber funktionieren? Schließlich habe ich damals extra eine UR (Un-Restricted) License geordert und kann 6 Interfaces Konfigurieren.

Hat da jemand einen Tip für mich? Tante Gurgel bezieht sich dann immer auf die Pix 525, doch so einen Trümmer, will ich in meinem Rack zu Hause nicht sehen. Das Auge administriert schließlich mit ;)

Tbc….

15. April 2011

iptables und brute-force

Kategorie: Computer — Schlagwörter: , , , , , , , , , , — bigfoot @ 22:55

Das Logfile meines Servers quillt jede n8 über. Eine Brute-Force SSH Attacke nach der anderen. Ein Freund sandte mir folgende Lösung zu:

iptables -N SSH_WHITELIST
iptables -A INPUT -p tcp –dport 22 -m state –state NEW -m recent –set –name SSH
iptables -A INPUT -p tcp –dport 22 -m state –state NEW -j SSH_WHITELIST
iptables -A INPUT -p tcp –dport 22 -m state –state NEW -m recent –update –seconds 600 –hitcount 2 –rttl –name SSH -j NFLOG –nflog-prefix SSH_brute_force
iptables -A INPUT -p tcp –dport 22 -m state –state NEW -m recent –update –seconds 600 –hitcount 4 –rttl –name SSH -j DROP

Ich werde mal sehen, was das bringt.

9. April 2011

Linux iptables Firewall

Kategorie: Computer — Schlagwörter: , , , , , , , , , , , , , , — bigfoot @ 23:43
Ein Beispiel Script für eine Firewall, einfach ein Script anlegen unter /etc/init.d/firewall und via update-rc…. einbinden.
/etc/init.d/firewall

#!/bin/sh
# Firewallscript von tsmag.de
# Erstellt 8.9.2006, Revision 3 – 08.04.2011

WANIF=”eth1″
LANIF=”eth0″
DMZIF=”eth2″
INTIF=”eth3″

WANIP=”111.111.111.111″
LANIP=”10.100.37.6″
DMZIP=”10.100.38.254″
INTIP=”10.100.39.254″
NTPIP=”132.187.3.3″
EXTDNS=”130.149.4.20 141.1.1.1″
INTDNS=”10.100.37.251″

case “$1″ in

start)
echo “START FIREWALL”
modprobe nf_conntrack_ftp
# Standardverhalten setzen
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

# Alte Regeln entfernen

iptables -F
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
echo 0 > /proc/sys/net/ipv4/conf/all/accept_source_route
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
echo 0 > /proc/sys/net/ipv4/conf/all/accept_redirects
echo 0 > /proc/sys/net/ipv4/conf/all/send_redirects
echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter
echo 1 > /proc/sys/net/ipv4/conf/all/log_martians

# Loopback-IF freigeben

iptables -A INPUT -s 127.0.0.1 -i lo -j ACCEPT
iptables -A INPUT -s $WANIP -i lo -j ACCEPT
iptables -A INPUT -s $LANIP -i lo -j ACCEPT
iptables -A INPUT -s $INTIP -i lo -j ACCEPT
iptables -A INPUT -s $DMZIP -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

# Antworten und bestehende Verbindungen akzeptieren

iptables -A INPUT -m state –state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -m state –state RELATED,ESTABLISHED -j ACCEPT

# Lokales Netzwerk freigeben

iptables -A INPUT -s 10.100.37.0/24 -j ACCEPT
iptables -A OUTPUT -d 10.100.37.0/24 -j ACCEPT

# SSH freigeben

iptables -A INPUT -p tcp –dport 22 -j ACCEPT

# Den Zugriff auf die Ext. DNSServer erlauben

for DNSSERV in $EXTDNS
do
iptables -A OUTPUT -p udp -d $DNSSERV –dport 53 -j ACCEPT
iptables -A OUTPUT -p tcp -d $DNSSERV –dport 53 -j ACCEPT
done
iptables -A OUTPUT -p udp –dport 53 -j REJECT

# Webzugriffe zulassen

iptables -A INPUT -p tcp –dport 80 -i $LANIF -j ACCEPT
iptables -A INPUT -p tcp –dport 80 -i $WANIF -j ACCEPT
iptables -A INPUT -p tcp –dport 443 -j ACCEPT
iptables -A OUTPUT -p tcp –dport 443 -j ACCEPT
iptables -A OUTPUT -p tcp –dport 80 -i $WANIF -j ACCEPT

# SMTP zulassen

iptables -A INPUT -p tcp -i lo -s 127.0.0.1 –dport 25 -j ACCEPT
iptables -A INPUT -p tcp -i $LANIF -s $LANIP –dport 25 -j ACCEPT
iptables -A INPUT -p tcp -i $INTIF -s $INTIP –dport 25 -j ACCEPT
iptables -A INPUT -p tcp -i $DMZIF -s $DMZIP –dport 25 -j ACCEPT
iptables -A OUTPUT -p tcp –dport 25 -m state –state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp -i $WANIF –dport 587 -j ACCEPT
iptables -A INPUT -p tcp -i $LANIF –dport 587 -j ACCEPT
iptables -A INPUT -p tcp -i $INTIF –dport 587 -j ACCEPT
iptables -A OUTPUT -p tcp –dport 587 -m state –state ESTABLISHED,RELATED -j ACCEPT

# POP3 fuer die Zeit des Testens freigeben

iptables -A INPUT -p tcp -i $LANIF -s 10.100.37.0/24 –dport 110 -j ACCEPT
iptables -A INPUT -p tcp -i $INTIF -s 10.100.38.0/24 –dport 110 -j ACCEPT
iptables -A INPUT -p tcp -i $DMZIF -s 10.100.39.0/24 –dport 110 -j ACCEPT
iptables -A OUTPUT -p tcp –dport 110 -j ACCEPT
# POP3 SSL Freigeben
iptables -A INPUT -p tcp -d $WANIP –dport 995 -j ACCEPT
iptables -A OUTPUT -p tcp –dport 995 -m state –state ESTABLISHED,RELATED -j ACCEPT
#SNMP zulassen
iptables -A INPUT -p udp -i lo -d 127.0.0.1 –dport 161 -j ACCEPT
iptables -A OUTPUT -p udp -d 127.0.0.1 –dport 161 -j ACCEPT
# Specific connections
iptables -A INPUT -p udp -s $NTPIP –sport 123 -m state –state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p udp -d $NTPIP –dport 123 -m state –state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp –sport 1024: –dport 1024: -m state –state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp –sport 1024: –dport 1024: -m state –state ESTABLISHED,RELATED -j ACCEPT
# Spoofing Attacken unterbinden und DoS
iptables -A INPUT -p tcp -m state –state NEW -m limit –limit 15/minute –limit-burst 3 -j ACCEPT
iptables -N SYN_FLD
iptables -A INPUT -p tcp –syn -j SYN_FLD
iptables -A SYN_FLD -m limit –limit 1/s –limit-burst 3 -j RETURN
iptables -A SYN_FLD -j DROP
iptables -A INPUT -p icmp -m limit –limit 1/s –limit-burst 1 -j ACCEPT
iptables -A INPUT -p icmp -j DROP
iptables -A OUTPUT -p icmp -j ACCEPT
#### WEITERES AUS SICHERHEITSGRUENDEN ENTFERNT
;;
stop)
echo “STOP FIREWALL”
iptables -F
iptables -X
# Default Policies setzen
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
;;
status)
echo “SHOW STATUS”
iptables -L -vn
;;
*)
echo “CALL UNDEFINED”
echo “Syntax: $0 {start|stop|status}”
exit 1
;;
esac

19. November 2010

Cisco 3725 und der Flash

Kategorie: Allgemein,Computer,Privat — Schlagwörter: , , , , , , , , , , , — bigfoot @ 23:08

Serienmäßig hatte meine Cisco 3725 32MB Flash und 256MB Ram. Nun, wenn man aber schon ein IOS aufspielt, das 44MB hat und dann noch den SDM 2.5 installieren möchte, dann wird es verdammt eng auf der Karte. Die im Slot 0 steckende Karte mit 128 MB, nurze ich eigentlich für kofnigurationen und hinterlegte Dateien.
Also muss die 32 MB Karte gegen etwas größeres ersetzt werden. Diesbezüglich holte ich meinen kleinen Vorrat an “kleinen” Compact Flash karten hervor und kramte darin herum. Mir fielen einige 256 MB Karten in die Finger. Zuerst musste ich mal die SanDisk “Industrial Grade” ausprobieren. Das Ergebnis jedoch war mehr als ernüchternd. Langsam war kein Ausdruck. Die Karte kam nicht über 38KB/s hinaus. Beim Scheiben wohl gemerkt. Beim Lesen gab es nicht wirklich bermerkbare Unterschiede zur Original Karte von Cisco. Also habe ich den Router nochmals ausgeschaltet und die CF Karte, gegen eine damals extrem Teure 256MB Ultra II von SanDisk getauscht.
Router gestartet und manuell das Image vom Slot 0 geladen. Anschließend die Karte formatiert und dann mit dem Image bespielt. Und siehe da, es geht auch schneller. Genau genommen 12 mal so schnell. NUn passte auch das SDM drauf und dann die Kiste noch mal gebootet.
Voila. Geht.
Weiter im Programm.

Ältere Einträge »

powered by wordpress; my content © 2009 - 2016