Задать вопрос
По большей части сетевой инженер (SP и Security профиль). Работаю с железом Cisco и Juniper, из open-source решений - Snort, Suricata, ovpn, Kali Linux.
По бумажкам - CCNP R&S, JNCIP-SEC, JNCIP-ENT.
Контакты

Достижения

Все достижения (1)

Наибольший вклад в теги

Все теги (16)

Лучшие ответы пользователя

Все ответы (23)
  • Как сделать сервер не видным в интернете?

    @John_Alban
    Network/IDS engineer
    На ASA необходимо создать 2 зоны (напримерб trust и untrust) и разнести по ним интерфейс-в-сторону-провайдера (в untrust) и интерфейс-в-сторону-сервера (в trust).
    На интерфейсах задать security-level:
    !
    interface gig0/0
    description --to_ISP--
    security-level 0
    nameif untrust
    !
    int gig0/1
    des --to_server--
    security-level 100
    nameif trust
    !
    конфиг NAT:
    object network server_local
    host 192.168.1.2
    object network ISP_peering
    host 111.111.111.111
    !
    object network out_nat
    nat (trust,untrust) dynamic ISP_peering #либо через static режим
    !
    Так вы включите stateful обработку трафика и сервер снаружи будет недоступен (поток трафика должен будет инициировать сервер). Если есть необходимость получить доступность портов (например http) сервера снаружи, то просто добавьте ACL:
    access-list outside_access extended permit tcp any object server_local eq www
    access-group outside_access in interface untrust

    Естественно, это минимальный конфиг и для полного счастья его не хватит
    Ответ написан
    Комментировать
  • Как посмотреть кто грузит канал на cisco asa 5510?

    @John_Alban
    Network/IDS engineer
    можно настроить сбор статистики по netflow и смотреть на коллекторе красивые графики по каждому из клиентов
    Ответ написан
    Комментировать
  • Как сделать базовую настройку iptables?

    @John_Alban
    Network/IDS engineer
    Если хотите все сразу и быстро, поставьте пакеты ipkungfu и fail2ban:
    apt-get install fail2ban ipkungfu
    # включаем fail2ban
    /etc/init.d/fail2ban restart
    # настраиваем ipkungfu
    sudo nano /etc/ipkungfu/ipkungfu.conf
    # меняем строку IPKFSTART = 0 на IPKFSTART = 1 здесь:
    sudo nano /etc/default/ipkungfu
    # включаем
    sudo ipkungfu

    это даст неплохой базовый уровень защищенности, как научитесь iptables, отредактируете оптимально под свои задачи
    Ответ написан
    Комментировать
  • Что нужно для безболезненного перехода на linux?

    @John_Alban
    Network/IDS engineer
    Да ничего особенного не нужно - я сам на Linux уже 5-год, без каких-либо позывов вернуться обратно. Сейчас в доме винды нет вообще - у меня и у жены Chromebook'и (c Ubuntu на chroot) + сервер-лаба естественно на Linux. Полет нормальный.
    Просто берите и ставьте себе Mint или Ubuntu (рекомендую Xubuntu - она на xfce, работает ощутимо быстрее, чем стандартная на Unity. Да и выглядит посимпатичнее) - весь необходимый софт есть, стабильность на уровне, внешний вид и юзабилити на уровне. Командной строчки боятся тоже не стоит - все основные действия можно делать через gui, приложения устанавливать через software-manager (google market/app store подобный магазин). Я первый год после перехода консоль даже не открывал)
    Единственный момент - если вам для работы нужен специфичный виндо-софт. Но на такой случай просто делается виртуалка с семеркой.
    Ответ написан
    Комментировать
  • Потеря пакетов на Juniper srx100?

    @John_Alban
    Network/IDS engineer
    Давайте по этапам - на SRX терминируется шлюз для клиентов? Если да, то пинг с SRX до клиентской машины в студию:
    ping $ip_клиента rapid count 1000 size 1472 do-not-fragment

    Ну или со стороны клиента до джуна
    Ответ написан
    Комментировать

Лучшие вопросы пользователя

Все вопросы (3)