بلاک کردن ip
با استفاده از دستورات زیر می توان تنظیم کرد اگر کاربری رمز عبور برای اتصال ssh اشتباه وارد کرد ip آن کاربر بلاک شود و نتواند ssh بزند
در مثال زیر اگر کاربر ۵ بار در مدت ۶۰ ثانیه رمز عبور ssh را اشتباه وارد کند به مدت 120 ثانیه بلاک خواهد شد .
soodar(config)# login block-for 120 attempts 5 within 60
توجه
اگر این تنظیم انجام نشود بصورت پیش اگر در مدت 60 ثانیه 5 بار لاگین ناموفق رخ دهد ip به مدت 600 ثانیه بلاک خواهد شد . در ضمن لاگین های موفق counter را صفر نمی کند یعنی اگر در بازه 60 ثانیه 4 بار لاگین ناموفق داشته باشد و سپس 1 لاگین موفق داشته باشد و سپس 1 لاگین ناموفق ، باز هم IP بلاک خواهد شد .
به کمک دستور زیر می توان ip های پلاک شده را unblock کرد.
می توانید با وارد کردن آدرس ip مورد نظر آن را unblock کنید یا با استفاده از گزینه all همه ip های بلاک شده را باز کنید .
soodar(config)# login unblock
A.B.C.D Unban a blocked conenction
X:X::X:X IPv4 address of banned connection
all IPv6 address of banned connection
urpf
کلمه uRPF تشکیل شده از کلمات Unicast Reverse Path Forwarding میباشد. مکانیزمی است به منظور جلوگیری از حملات جعل IP و یا همان IP Spoofing .
نحوه تنظیم urpf در سودار :
soodar(config)# int ge0
soodar(config-if)# ip verify unicast source reachable-via
any Source is reachable via any interface
rx Source is reachable via interface on which packet was received
soodar(config-if)# ip verify unicast source reachable-via rx
حالت any
در حالت any کافی است source بسته در جدول مسیریابی روتر وجود داشته باشد و مهم نیست که دقیقا از همان اینترفیسی که روتر به آن route دارد بسته دریافت شود .
حالت rx
در این حالت باید مبدا(source) بسته در جدول مسیریابی روتر موجود باشد و دقیقا در همان اینترفیسی که ما از طریق آن به آن مبدا route داریم دریافت شود و گرنه بسته drop خواهد شد .
session timeout
می توان برای session هایی که به shell روتر ایجاد می شود timeout مشخص کرد و پس از کارنکردن با vtysh در بازه زمانی تعیین شدن session به طور خودکار بسته خواهد شد .
در مثال زیر بعد از غیرفعال بودن نشست به مدت ۱ دقیقه نشست بطور خودکار بسته خواهد شد
soodar/config# line vty
soodar/c/vty# exec-timeout
(0-35791) Timeout in minutes
soodar/c/vty# exec-timeout 1
<cr>
(0-2147483) Timeout in seconds
soodar/c/vty# exec-timeout 1 0
soodar/c/vty#
show login failure
می توانید تلاش های ناموفقی که برای لاگین کردن به روتر انجام شده است را مشاهده کنید . چه از طریق ssh و چه از طریق (پورت سریال)console . این اطلاعات فقط برای یک ماه اخیر نگهداری می شود البته در لاگ های ssh وجود دارد
soodar# show login failures
admin ssh:notty 192.168.1.30 Sun Jun 11 10:34
admin ssh:notty 192.168.1.30 Sun Jun 11 10:34
admin ssh:notty 192.168.1.30 Sun Jun 11 10:34
admin ssh:notty 192.168.1.20 Wed Jun 7 10:43
admin ssh:notty 192.168.1.30 Wed Jun 7 10:30
admin ssh:notty 192.168.1.20 Tue Jun 6 15:14
iman ssh:notty 192.168.1.20 Tue Jun 6 15:13
admin ssh:notty 192.168.1.30 Thu Jun 1 08:17
admin ssh:notty 192.168.1.30 Thu Jun 1 08:17
admin ssh:notty 192.168.1.30 Thu Jun 1 08:17
admin ssh:notty 192.168.1.30 Thu Jun 1 08:11
soodar#
show user
کاربرانی در حال حاضر به روتر لاگین کرده اند را نمایش می دهد
soodar# sh user
Number Line User Peer Address Session
---------------------------------------------------------------
* 0 SSH admin 192.168.1.3:34718 c5
1 Console admin --- c6
clear line
می توانید یک کاربر را با شماره tty line آن که در دستور قبل مشخص است را از cli روتر بیرون کنید و ارتباط او با روتر قطع شود
soodar# clear line 1
[Ok]
informational-SOOSYS: session c6(0.0.0.0:0) terminated by user admin(192.168.1.3:34718)
soodar#