بلاک کردن ip

با استفاده از دستورات زیر می توان تنظیم کرد اگر کاربری رمز عبور برای اتصال ssh اشتباه وارد کرد ip آن کاربر بلاک شود و نتواند ssh بزند

در مثال زیر اگر کاربر ۵ بار در مدت ۶۰ ثانیه رمز عبور ssh را اشتباه وارد کند به مدت 120 ثانیه بلاک خواهد شد .

soodar(config)# login block-for 120 attempts 5 within 60

توجه

اگر این تنظیم انجام نشود بصورت پیش اگر در مدت 60 ثانیه 5 بار لاگین ناموفق رخ دهد ip به مدت 600 ثانیه بلاک خواهد شد . در ضمن لاگین های موفق counter را صفر نمی کند یعنی اگر در بازه 60 ثانیه 4 بار لاگین ناموفق داشته باشد و سپس 1 لاگین موفق داشته باشد و سپس 1 لاگین ناموفق ، باز هم IP بلاک خواهد شد .

به کمک دستور زیر می توان ip های پلاک شده را unblock کرد.
می توانید با وارد کردن آدرس ip مورد نظر آن را unblock کنید یا با استفاده از گزینه all همه ip های بلاک شده را باز کنید .

soodar(config)# login unblock 
  A.B.C.D   Unban a blocked conenction
  X:X::X:X  IPv4 address of banned connection
  all       IPv6 address of banned connection

urpf

کلمه uRPF تشکیل شده از کلمات Unicast Reverse Path Forwarding می‌باشد. مکانیزمی است به منظور جلوگیری از حملات جعل IP و یا همان IP Spoofing .

نحوه تنظیم urpf در سودار :

soodar(config)# int ge0
soodar(config-if)# ip verify unicast source reachable-via 
  any  Source is reachable via any interface
  rx   Source is reachable via interface on which packet was received
soodar(config-if)# ip verify unicast source reachable-via rx

حالت any
در حالت any کافی است source بسته در جدول مسیریابی روتر وجود داشته باشد و مهم نیست که دقیقا از همان اینترفیسی که روتر به آن route دارد بسته دریافت شود .

حالت rx
در این حالت باید مبدا(source) بسته در جدول مسیریابی روتر موجود باشد و دقیقا در همان اینترفیسی که ما از طریق آن به آن مبدا route داریم دریافت شود و گرنه بسته drop خواهد شد .

session timeout

می توان برای session هایی که به shell روتر ایجاد می شود timeout مشخص کرد و پس از کارنکردن با vtysh در بازه زمانی تعیین شدن session به طور خودکار بسته خواهد شد .
در مثال زیر بعد از غیرفعال بودن نشست به مدت ۱ دقیقه نشست بطور خودکار بسته خواهد شد

soodar/config# line vty
soodar/c/vty# exec-timeout
  (0-35791)  Timeout in minutes
soodar/c/vty# exec-timeout 1  
  <cr>         
  (0-2147483)  Timeout in seconds
soodar/c/vty# exec-timeout 1 0
soodar/c/vty# 

show login failure

می توانید تلاش های ناموفقی که برای لاگین کردن به روتر انجام شده است را مشاهده کنید . چه از طریق ssh و چه از طریق (پورت سریال)console . این اطلاعات فقط برای یک ماه اخیر نگهداری می شود البته در لاگ های ssh وجود دارد

soodar# show login failures 
admin	ssh:notty	192.168.1.30	Sun Jun 11 10:34
admin	ssh:notty	192.168.1.30	Sun Jun 11 10:34
admin	ssh:notty	192.168.1.30	Sun Jun 11 10:34
admin	ssh:notty	192.168.1.20	Wed Jun 7 10:43
admin	ssh:notty	192.168.1.30	Wed Jun 7 10:30
admin	ssh:notty	192.168.1.20	Tue Jun 6 15:14
iman	ssh:notty	192.168.1.20	Tue Jun 6 15:13
admin	ssh:notty	192.168.1.30	Thu Jun 1 08:17
admin	ssh:notty	192.168.1.30	Thu Jun 1 08:17
admin	ssh:notty	192.168.1.30	Thu Jun 1 08:17
admin	ssh:notty	192.168.1.30	Thu Jun 1 08:11
soodar# 

show user

کاربرانی در حال حاضر به روتر لاگین کرده اند را نمایش می دهد

soodar# sh user

       Number   Line      User    Peer Address        Session   
 ---------------------------------------------------------------
   *   0        SSH       admin   192.168.1.3:34718   c5        
       1        Console   admin       ---             c6        

clear line

می توانید یک کاربر را با شماره tty line آن که در دستور قبل مشخص است را از cli روتر بیرون کنید و ارتباط او با روتر قطع شود

soodar# clear line 1
[Ok]
informational-SOOSYS: session c6(0.0.0.0:0) terminated by user admin(192.168.1.3:34718)
soodar#