Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 3 replies
  • Subscribers 2 subscribers
  • Views 1279 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Upstream Router Filter Recommendations

sakshale
Since we have a Cisco router sitting upstream from our ASL test system.  I need to decide what filters related to the ASL box need to be included/excluded.  For example, one of our nameservers only gets ssh, domain and ping packets.  All else is blocked.

! 192.86.6.2 = ns1 (hestia)
access-list 101 permit udp any host 192.86.6.2 eq 22
access-list 101 permit tcp host xxx.xxx.xxx.xxx any eq domain
access-list 101 permit udp host xxx.xxx.xxx.xxx any eq domain
access-list 101 permit tcp any host xxx.xxx.xxx.xxx eq domain
access-list 101 permit udp any host xxx.xxx.xxx.xxx eq domain
access-list 101 permit icmp any host xxx.xxx.xxx.xxx

Anyone have a set of filters that they would recommend?  Are any ports specifically required or not?

Sakshale


This thread was automatically locked due to age.
Parents
  • 0
    Hi sakshale,

    are there any other devices in your transit
    network than cisco and ASL? If not make
    sure that no one from outside is able to telnet to your cisco. Let ASL do the
    filter work for you - I think it is much
    easier to handle.

    read you
    o|iver
  • 0 in reply to oliver.desch
    There are many systems on the DMZ behind the Cisco router, so turning off the filters is not a good thing.  

    I use multiple levels of protection, so that the failure of any one system, such as the Cisco, does not leave the entire network exposed.  This way, a hole in a server running on a DMZ host is not necessariy open to attack from the open network. Also, if some pervert succeeds in installing a daemon on one of the systems, the Cisco may prevent it from being accessed and used.

    Finally, the cisco accepts no telnet/http connections.  All maintenance is done through the serial console.

    For testing purposes, I can turn off all filtering by the Cisco to the Astaro test system, but I would rather only open up ports as needed.

    Sakshale
  • 0 in reply to sakshale
    There are many systems on the DMZ behind the Cisco router, so turning off the filters is not a good thing.  

    I use multiple levels of protection, so that the failure of any one system, such as the Cisco, does not leave the entire network exposed.  This way, a hole in a server running on a DMZ host is not necessariy open to attack from the open network. Also, if some pervert succeeds in installing a daemon on one of the systems, the Cisco may prevent it from being accessed and used.

    Finally, the cisco accepts no telnet/http connections.  All maintenance is done through the serial console.

    For testing purposes, I can turn off all filtering by the Cisco to the Astaro test system, but I would rather only open up ports as needed.

    Sakshale
Reply
  • 0 in reply to sakshale
    There are many systems on the DMZ behind the Cisco router, so turning off the filters is not a good thing.  

    I use multiple levels of protection, so that the failure of any one system, such as the Cisco, does not leave the entire network exposed.  This way, a hole in a server running on a DMZ host is not necessariy open to attack from the open network. Also, if some pervert succeeds in installing a daemon on one of the systems, the Cisco may prevent it from being accessed and used.

    Finally, the cisco accepts no telnet/http connections.  All maintenance is done through the serial console.

    For testing purposes, I can turn off all filtering by the Cisco to the Astaro test system, but I would rather only open up ports as needed.

    Sakshale
Children
No Data
Unfiltered HTML