[Nlnog] Cisco Telnet, anyone?

Fri Aug 27 15:14:05 UTC 2004

On 27 aug 2004, at 14:39, Boudewijn Visser wrote:

[..]
> De nettere oplossing is de  "ip receive <access-list>" feature die wel 
> een echte access-list zet op "alle verkeer gericht aan de router 
> zelf".

Is er zoveel verschil tussen het afhandelen van packets in het 
interrupt path vs. process switched op software-based routers (7200 en 
kleiner)?

Overigens ondersteunen de laatste "ip receive-acl" niet, dus om packets 
in het interrupt path (CEF) gedropt te krijgen zul je op elke interface 
een ACL moeten zetten.  Helaas heeft IOS niet het equivalent van 
FreeBSD's ipfw "deny ip from any to me", waarbij voor `me' automatisch 
alle adressen van alle lokale interfaces worden gesubstitueerd.

> Verder is het opzetten van infrastructure access-lists (/filters) aan 
> de netwerk edges hoe dan ook een goed idee.
> De urls staan (als gebruikelijk) in de advisory, (en de IOS essentials 
> etc); Het zijn trouwens typisch best practices voor alle netwerk 
> appratuur, niet alleen die van Cisco.

Inderdaad; zie ook http://www.cymru.com/gillsr/documents.html (voorheen 
op qorbit.net).

Groeten,
-- 
Niels Bakker                                      Tel: +31 205 141 716
Amsterdam Internet Exchange                    Mobile: +31 651 902 772
http://www.ams-ix.net/                 E-mail: Niels.Bakker at ams-ix.net