В данной статье рассмотренны основные команды управления сервисами TCP/IP.
no service tcp-small-servers – Запрещает доступ к ряду сервисов TCP, позволяющих хостам сети запрашивать Echo, Discard, Chargen и Daytime портов. По умолчанию серверы TCP в части сервисов Echo, Discard, Chargen и Daytime активизированны. Если их отключить, то в ответ на соответствующий запрос порта программное обеспечение CISCO IOS пошлёт отправителю TCP-пакет RESET и отвергнет поступивший пакет.
no service udp-small-servers – Запрещает доступ к ряду сервисов UDP,позволяющих хостам сети запрашивать Echo, Discard, Chargen и Daytime портов.По умолчанию серверы UDP в части сервисов Echo, Discard, Chargen и Daytime активизированны. Если их отключить, то в ответ на соответствующий запрос порта программное обеспечение CISCO IOS пошлёт отправителю пакет «ICMP port unreachable»
(порт недоступен) и отвергнет поступивший пакет.
no service finger – Запрещает запросы по протоколу finger (определённому в RFC 742) путём блокирования удалённых запросов пользователей.
no ip domain-lookup – Отключает трансляцию имён DNS в IP-адреса в маршрутизаторе периметра.
no ip source-route – Отключает IP-маршрутизацию от источника.
no ip tcp selective-ack – Отключает селективное подтверждение TCP (описано в RFC 2018)
no ip bootp server – Отключает сервис BOOTP (Bootstrap Protocol – протокол начальной самозагрузки) хоста.
no mop enable – Отключает действие протокола MOP (Maintenance Operation Protocol -
протокол операций сопровождения); может также применяться в отношении конкретного интерфейса.
no cdp run – Отключает действие протокола Cisco Dicovery Protocol.
no ip rsh-enable – Устанавливает конфигурацию маршрутизатора, при которой удалённым пользователям запрещается выполнять команды rsh на нём.
no ip rcmd rep-enable – Устанавливает конфигурацию маршрутизатора, при которой удалённым пользователям запрещается копировать файлы в маршрутизатор и с него, используя команды rcp.
no ip identd – Отключает поддержку идентификации, что блоктрует возврат информации, идентифицирующей TCP-порт.
no ip proxy-arp – Отключает прокси-сервис ARP (Address Resolution Protocol – протокол разрешения адресов) в рамках указанного интерфейса.
no ip redirects – Отключает отправку сообщений перенаправления, когда средства Cisco IOS SOFTWARE пересылают пакет в рамках интерфейса, по которому этот пакет получен.Ограничивает информацию, посылаемую маршрутизатором в случае сканирования порта.
no ip tcp path-mtu-dicovery – Отключает возможность Path MTU Discovery для всех новых соеденений TCP от маршрутизатора по данному интерфейсу.Отсутствие такого запрета увеличивает угрозу атак, связанных с блокированием сервиса.
no ip unreachable – Отключает генерирование сообщений ICMP Unreachable для данного интерфейса.
no ip route-cache – Отключает кэширование данных автономной коммутации и/или быстрой коммутации для маршрутизации IP.
no ip mroute-cache – (Используется по умолчанию.) Отключает групповую быструю коммутацию IP, посылая пакеты на уровне процесса. Требуется для записи сообщений отладки и обработки списков доступа.
no cdp enable – Отключает CDP (Cisco Discovery Protocol) для данного интерфейса.
no ip directed-broadcast – (Используется по умолчанию.) Отключает управляемую групповую рассылку IP, что обеспечивает невозможность применения маршрутизатора в качестве широковещательного усилителя в распределённых атаках блокирования сервиса.
При написании статьи использовалась документация с официального сайта CISCO
искатьСервисы TCP/IP маршрутизаторов Cisco на сайте