- Gurulunk, WAZE?!
- gban: Ingyen kellene, de tegnapra
- Rap, Hip-hop 90'
- Luck Dragon: MárkaLánc
- D1Rect: Nagy "hülyétkapokazapróktól" topik
- Luck Dragon: Asszociációs játék. :)
- vrob: Az IBM PC és a játékok a 80-as években
- hdanesz: Elektromos autózás - első élmények
- Parci: Milyen mosógépet vegyek?
- zebra_hun: Hűthető e kulturáltan a Raptor Lake léghűtővel a kánikulában?
-
LOGOUT
--- Még az új vizsgarendszer előtti információk, majd frissítjük! ---
Gyakran ismételt kérdések
Olvasd el a cikkeket itt.
Új hozzászólás Aktív témák
-
u04pakh
csendes tag
Ráadásul azt sem értem, hogy amikor a kinti 22-es portot forgatom be a szerver 22-es portjára (tegnap előttig még így működött a történtet) akkor miért nem engedi, és ezt a hibaüzenetet kapom:
[ERROR] static (inside,outside) tcp interface 22 192.168.1.35 22 netmask 255.255.255.255 tcp 0 0 udp 0
unable to reserve port 22 for static PAT
ERROR: unable to download policy -
u04pakh
csendes tag
Eddig a 22-es port volt forwardolva a szerver 22-es portjára. Ez lett a szerveren megváltoztatva pl. 59030-ra, tűzfalban csináltam egy nat-ot rá (inside, outside port is 59030), de nem tudtam bejelentkezni. Ezért a szerveren az ssh-t visszaállítottam a 22-es porta, de amikor a tűzfalban létre akartam hozni megint a szabályt (inside, outside port is 22) nem engedte a lenti hibaüzenettel.
-
-
crok
Topikgazda
Router CPU vagy más I/O alkatrész probléma lesz* - jártam már így, pont ilyennel és másmilyennel (D-Link, Netgear, ASUS) is. Egyszerűen hibázik az a kis CPU és korrekciókra van szükség ami szintén eszi a CPU-t. Minden a kis CPU-ból megy - SPI tűzfal, NAT, PPPOE.. minden.. - és ha valami cink a processzorral vagy a lábazattal vagy ilyesmi (egyszer a CPU volt szar, de azt is egy másik firmware-el szedtem ki belőle, SSH után agyig debugoltam szerencsétlent) aztán volt olyan is aminél az I/O állt meg, volt ami melegedett és mivel az órajelet nem tudja csökkenteni hogy "hűljön" így a másik általános megoldást választották a fejlesztők: durvasok NOOP-ot tett be a CPU a hasznos utasítások közé így lassította a futást és "hűtötte" magát.
[Szerk.]* ..pontsabban lehet, mert persze más is lehet, de a tapasztalatom ezt mondatja velem meg ahogy mondod PC-vel megy..**
** Ja most látom más routerrel is ez a helyzet.. akkor gondolkodom még mi lehet! -
crok
Topikgazda
Hagyhatod a fenébe a hibaüzenetet (hacsak nem jön száz/ezer számra).. tudod mi a leggyakoribb előfodulás? Nem fogod elhinni.. egyszerű TCP retransmission.. vagy bármilyen retransmission.. (és általában olyan csomagok miatt amit a router generál, de lehet átmenő is). A másik ha a vonalon durvanagy a késleltetés vagy a provider backbone-ban van valahol load-balancing.. esetleg ha ennek tetejébe úgy megy a loadbalance hogy az egyik path mondjuk kisebb sávszélű/jobban terhelt.. na akkor meg simán előáll, hogy az egyes csomagok *nem* sorrendben érkeznek meg (vagyis lesznek olyanok amik pl. az egyik útvonalon - amit te lehet nem is tudsz hogy létezik, lehet asym routing is! - kisebb a sávszél, nagyobb a load, nagyobb a queue-ing idő, nagyobb a delay, később vagy összevissza érnek be.. ezt veszi sokszor a c7200 replay check failed-re.. meg más platform is. Régi a platform, nem lesz olyan IOS ami ezt kiküszöböli szerintem.. logging discriminator-t neki oszt' nem látja a 'zÜgyfail.. ( : Egyébként első körben kicsit megnyújtanám a reply window-t.
[Frankó leírás]
A bigiri-BUG: [2] [3]
Az Anti-replay window megváltoztatása: IOS / IOS-XEAnnyiszor és annyi ügyfélnek kellett ezt már kifejtenem hogy gyak. már van rá sablon szöveg.. ( :
-
crok
Topikgazda
Hát profi sec nem vagyok.. de eltérés abban az értelemben nincs hogy így is, úgy is benne van a phase I és II is. De.. ha kell routing akkor jobb a tunnel és tunnel protection mint a WAN interface és a crypto-map.. Tunnelen belül egy BGP-t vagy OSPF/EIGRP-t mégiscsak könnyebb összehozni. Onnantól a routing megmondja mi merre megy.
Loopback mint source/destination: lásd előbb, BGP peeringnél jól fog jönni hogy nem interface IP (jjjóóóó, lehetne IP unnumbered loopback is az interface IP-je..) a peer IP ha iBGP van és IGP-n lehet tolni mindenhova mindenkinek a loopback IP-t és csinálhatsz backhaul routing-ot hogy a loopback-et backup-on keresztül is elérje a másik oldal meg a rá tudsz NATolni bármit a loopback-re.. óóómennyiszerláttam.. meg a loopback lehet a management interface is.
-
zsolti.22
senior tag
Nem azért, de a könyv nagyon isteníti a radiust. Ki a rosseb használ radiust, amikor a tacacs jobb? Nyomik. Volt is ezzel valami probléma, talán plusz licenchez kötötték, ami drágább volt, mint az alapcsomag, aztán rájöttek, hogy azért mégis egy tacacsról beszélünk és most már az alap licenc is tartalmazza majd a tacacs-ot, de ISE 1.2-nél csak? Valami ilyesmi rémlik.
Hogy intézted az ISE-t? Próbalicenc meg valami windows server? -
zsolti.22
senior tag
Kennen Sie Google?
Egyik kedvencem idézem.
Here are some details:
Information Systems Security (INFOSEC) ProfessionalIn April 2003, the National Security Agency (NSA) and the Committee on National Security Systems (CNSS) awarded Cisco a formal certification recognizing that Cisco security courseware meets the 4011 training standard. This standard is intended for Information Systems Security (INFOSEC) Professionals responsible for the security oversight or management of critical networks. This formal NSA and CNSS certification gives Cisco the authority to recognize those candidates who have demonstrated that they have met this training standard. Candidates who have achieved this certification not be issued a certificate, but will be issued a letter of recognition acknowledging their completion of the related requirements. This letter of recognition can be used as confirmation of having met the requirements.
Information Systems Security (INFOSEC) Professional Prerequisites
Valid CCNA certificationHere is the link, for more information.
http://www.cisco.com/web/learning/le3/whats_new/infosec.html
Best wishes, and congratulations!
Keith Barker
-
kmisi99
addikt
Csak tippeltem, mert fogalmam sincs egy cég igényeiről.
A Nat pool al patolást mire érted? Mert még ezt a témát se értem tisztán. Nekem alapból az jött le, hogy a PAT a király, a Staticot még esetleg lehet használni a Dynamic pedig annyira nem használatos.
Azért kellhet több cím mert hamar kifut abból a 65536 port számból? -
crok
Topikgazda
Az nagyon jó ha ez megvan, akkor a process/interrupt arány úgy alakult hogy sok az interrupt. Az azt jelenti hogy (mivel a router szoftverből továbbít) hogy jött be csomag amit fel kellett küldenie az interface-től a CPU-ba feldolgozásra.. de ez közel se jelenti hogy azzal bármit is tud csinálni.. ha pl. az ARP_Input is magas akkor 99.9999% hogy a router mögött switch loop van.. most nem írom le miért de ha kell majd szánok rá időt ( : gyak. mindegy, de tudni kéne mi van az IP_Input alatt, mert az IP_Input azt jelenti hogy csomag lett a CPU-nak küldve valamiért, és ezek szerint ez elég magas. A sh cef not-cef-switched majd megmondja hogy mit nem tudott CEF-ből forwardolni. (Szeretem az ilyen eseteket..)
-
kmisi99
addikt
Értem akkor lényegében azt az ip tartományt adom meg ACL ben amik ki fognak menni pl az internetre? Mert akkor most már értem.
De a poolt nem igazán az OCG ben se nagyon értettem, hogy most mondjuk én egy nagy vállalat vagyok ezért én kapok mondjuk 4 publci ip addresst akkor a pool ban megadhatom mind a 4 ip címet hogy azokra fordítsa át a private ipket?
-
-
-
zsolti.22
senior tag
Van lassan két éve leadott hibánk is
Amit én adtam le, az is 6 hónapja húzódik; sajnos csak közvetett formában tudunk beszélni a TEK-kel és ez itt a legnagyobb gond. A kapcsolattartó folyton ad nekik 1-2 hét időt, közben a TAC persze cseszik visszaírni ezen időn belül, majd amikor rá van kérdezve, akkor jön a halandzsa, hogy ezt meg azt kéne csinálni, ami the end of next week...Eddig mi a szart csináltak? És persze ez megy állandóan ismételve. 6 hónap alatt nem voltak képesek összerakni azt a rohadt egyszerű labot, amin előjön a hiba (egy internetes modem meg egy router és egy laptop)?
Úgy fel tudom magam nyomni ezen....És ezért még pénzt is kérnek és persze fizetünk is, mint a katonatiszt. Ha ingyen volna a support és azok végeznék így a munkájukat, akkor azt mondanám, hogy rendben van, de így...
Áh, hagyjuk inkább az egészet...
-
-
zsolti.22
senior tag
Jól van, felfogtam. Együtt iratkoztunk be ide szerintem
Én se vagyok máshogy az egésszel. Amíg még új volt és olyan volt a munkahelyem, hogy 8 órában nem csináltam semmit, addig tök jó volt az újat tanulni és labozgatni. Most meg már annyira nem érdekel, mert örülök, ha a sok idióta után le tudok pihenni és csöndben lenni.
A Security viszont érdekel, nálam egyfajta fétis ez a titkosítsunk be mindent A P secet is el fogom kezdeni és biztos is, hogy azt kezdem először, ami a VPN-ekkel foglalkozik. Emlékszem, hogy még a P ROUTE-ban lett említve az IPSec résznél, hogy van GET VPN, DMVPN, meg még másik kettő...és ez a 4 összesen pont az egyik P Sec-es anyag (SIMOS talán).
Mostanában én is csak összerakok egy-egy VPN-t, de szintén nem érdekel a CCP, de azért ha fegyvert fognának rám, akkor én inkább CCP-vel csinálnám Tegnap 2 ASÁ-t melegítettem össze egymással, és most meg azzal a nat-os konfiggal ment, amit te írtál, azelőtt meg azzal nem 
Aztán ahogy nem mentek a pingek, úgy jöttem rá, hogy ja, ACL-l kéne, mert low-to-high átjárás nincs. Aztán még azelőtt valamiért azonos sec-level volt az internet és az inside, azért nem ment De végül szépen összebarátkoztak.
De utána már mindjárt izzítottam is a játékot kikapcsolódás céljából.
Az IPS nem akkora gáz IOS-en, volna is min tesztelni, de nem visz rá a lélek, inkább elolvasom könyvből, és bólogatok, hogy igen, ez csak ennyi, király.
Az appliance IPS már más tészta, azzal előrébb nem lettem, hogy GNS-ban tudom kezelni IDM-enNa de mindenki vissza dolgozni, még csak 10:07
-
zsolti.22
senior tag
Én nem akarok neked semmi rosszat, nem tudtam, hogy ez nálad kötekedésnek számít, ha kijavítalak.
(crok-ba is "belekötnék", ha lenne rajta fogás, de az nem vetne jó fényt a ccnp-sw PDF lektorálására).
Én nem néztem eléggé át, mit írtál, mert ha egymás után írod a parancsokat prompttal, akkor abból ki lehet következtetni, hogy nem a ciscoasa(config)# promptból kell kiadni a nat parancsot (mert ugye nem csak ott lehet kiadni és ez azért nem mindegy), de elírtad, erre irányult a rá következő hozzászólásom, és én a hsz-ed után csak a sima (config)#-beli nat-ot néztem és azzal is oldottam meg végül, nem pedig az object akármi-beli nattal.
Na ebben mit talasz korrigalni valot?
Nem is keresek
Helyesírásba mindig bele lehet kötni, mindig. De az már csak partra vetett hal esete (ha már nincs mivel visszavágni, de csak hogy a másik fél ne érezze olyan jól magát, akkor jól meg lehet neki mondani, hogy írni meg tanulj meg, de az lásd második mondat ebben a bekezdésben).SAJNÁLOM, ELNÉZÉST!
-
zsolti.22
senior tag
Ez esetben helytelen a promptod:
Ez lenne a nyerő, persze, hogy megkavarodok!
ciscoasa(config-network-object)#
Még jó, hogy itt is, ott is lehet natolni...
Mi a különbség az object network és az object-group network között?
Hogy ne kelljen ilyeneket kérdeznem, mit olvassak el? -
zsolti.22
senior tag
Azért van a NAT interface a végén, mert ez a nyomorult úgy fogadja el:
ciscoasa(config)# nat (inside,internet) source dynamic ?
configure mode commands/options:
WORD Specify object or object-group name for real source
any Abbreviation for source address and mask of 0.0.0.0Szopat a GNS3, vagy te
-
-
zsolti.22
senior tag
Erre gondoltál?
R1#
R1#conf
R1#configure t
R1#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
R1(config)#ip access
R1(config)#ip access-list ext
R1(config)#ip access-list extended name
R1(config-ext-nacl)#permit ip any any
R1(config-ext-nacl)#exit
R1(config)#do sh access-l
Extended IP access list name
10 permit ip any any
R1(config)#ip access-list extended name
R1(config-ext-nacl)#1 deny rt
R1(config-ext-nacl)#1 deny rt
R1(config-ext-nacl)#1 deny rtp
R1(config-ext-nacl)#1 deny es
R1(config-ext-nacl)#1 deny esp any any
R1(config-ext-nacl)#do sh access-l
Extended IP access list name
1 deny esp any any
10 permit ip any any
R1(config-ext-nacl)#permit ahp
R1(config-ext-nacl)#permit ahp any any
R1(config-ext-nacl)#do sh access-l
Extended IP access list name
1 deny esp any any
10 permit ip any any
20 permit ahp any any
R1(config-ext-nacl)#9 permit osp
R1(config-ext-nacl)#9 permit ospf any any
R1(config-ext-nacl)#do sh access-l
Extended IP access list name
1 deny esp any any
9 permit ospf any any
10 permit ip any any
20 permit ahp any any
R1(config-ext-nacl)#ip access-l res name 10 10
R1(config)#do sh access-l
Extended IP access list name
10 deny esp any any
20 permit ospf any any
30 permit ip any any
40 permit ahp any anyVan egy IPS lab, de iosips, nem pedig appliance, úgyhogy ezzel bajban vagyok. De ha igaz, meg fogom tudni oldani. Az 1.1-es lab manualban megtalálod.
-
-
crok
Topikgazda
..és így (elvben) nem kell majd szívnod és minden működni is fog.
De miután tudom hogy ez egy Cisco termék én még így is
fenntartásokkal vagyok az ilyen upgradekkel kapcsolatban ( :
Hisz az elmélet és a gyakorlat közt *elméletileg* nincs különbség..
Sok szerencsét - majd írj hogy örülünk vagy nem örülünk. -
crok
Topikgazda
-
crok
Topikgazda
Melyiket nézted eddig?
Én kettőről tudok, a srácok itt használták már
(bár nem tudom milyen "bonyolult", esetleg
átfedő NAT-olásotok van, én azért a biztonság
kedvéért átnézném az eredményt mindenképp)http://www.tunnelsup.com/nat-converter
http://www.packetbin.com/projects/CiscoASA84NATGenerator
Ja, és egy jó video hogy mire figyelj:
https://supportforums.cisco.com/video/11928931/asa-83-upgrade-what-you-need-know
És a leírás mellé:
https://supportforums.cisco.com/document/48646/asa-83-upgrade-what-you-need-know -
#9018
Cyber_Bird
senior tag
tusi_
#9017
-
crok
Topikgazda
Tőlünk a BT már majd' minden épeszűt behúzott már (Debrecen..) csak azt nem aki kitartó meg hülye (mint én is..).
Közben érdekesség:
teszteszkoz(config)#! VTY ACL teszt konfig..
teszteszkoz(config)#! Szeretnem kommentelni az egyes bejegyzeseket..
teszteszkoz(config)#access-list 1 remark VTY ACL
teszteszkoz(config)#access-list 1 remark Engedek egy management halot
teszteszkoz(config)#access-list 1 permit 1.1.1.0 0.0.0.255
teszteszkoz(config)#access-list 1 remark Engedek egy masik management halot is
teszteszkoz(config)#access-list 1 permit 2.2.2.0 0.0.0.255
teszteszkoz(config)#access-list 1 remark Engedek egy hostot mert megtehetem ezt is
teszteszkoz(config)#access-list 1 permit host 3.3.3.3
teszteszkoz(config)#! ..dehogy tehetem meg.. ez igy fog kinezni..
teszteszkoz(config)#do sh run | i acce.*1
access-list 1 remark Engedek egy hostot mert megtehetem ezt is
access-list 1 permit 3.3.3.3
access-list 1 remark VTY ACL
access-list 1 remark Engedek egy management halot
access-list 1 permit 1.1.1.0 0.0.0.255
access-list 1 remark Engedek egy masik management halot is
access-list 1 permit 2.2.2.0 0.0.0.255..na és erre írj ellenőrző script-et..
-
zsolti.22
senior tag
Pedig így sokszor átnézve a videót, meg átolvasva már annyira nem száraz. Most néztem az új SISAS, SENSS, SIMOS, SITCS vizsgákat és egyik másik felét az ember már most tudja, szóval kb. a 4 vizsga felét/harmadát kell megtanulni, onnantól kezdve meg is van az egész P security.
!
?
Aztán ahogy nem mentek a pingek, úgy jöttem rá, hogy ja, ACL-l kéne, mert low-to-high átjárás nincs. Aztán még azelőtt valamiért azonos sec-level volt az internet és az inside, azért nem ment 
Új hozzászólás Aktív témák
Hirdetés
FecoGee
crok- Kérlek használd a keresőt, mielőtt kérdezel!
- Olvasd el a téma összefoglalót mielőtt kérdezel!
- A dumpok és a warez tiltott témának számítanak!
- Subaru topik
- India felől közelít egy 7550 mAh-s Redmi
- Samsung Galaxy S23 Ultra - non plus ultra
- Milyen házat vegyek?
- PlayStation 5
- Házi barkács, gányolás, tákolás, megdöbbentő gépek!
- World of Tanks - MMO
- Vicces képek
- Sütés, főzés és konyhai praktikák
- Vivo X200 Pro - a kétszázát!
- További aktív témák...
- 10% -tól elvihető.Országosan a legjobb BANKMENTES részletfizetési konstrukció! ACER PREDATOR HELIOS
- BESZÁMÍTÁS! ASUS B450 R7 2700X 16GB DDR4 512GB SSD RTX 2060 Super 8GB Zalman i3 FSP 600W
- QNAP TS-870U-RP 8 lemezes Rack NAS
- Lenovo LEGION Pro 5 / Pro 7, Lenovo Yoga Pro gépek (RTX 4060 / 4070 / 4080 / 4090)
- Xiaomi Redmi A3 128GB, Kártyafüggetlen, 1 Év Garanciával
Állásajánlatok
Cég: PC Trade Systems Kft.
Város: Szeged
Cég: CAMERA-PRO Hungary Kft
Város: Budapest