Cisco NAT и правило permit ip any any

Получил новый ISR 4331 и попытался быстро перекинуть конфиг со старой Cisco. При этом у меня не заработали все внешние туннели, не пинговался хост снаружи и не было возможности подключиться по снаружи по ssh. Решение было найдено тут.

На маршрутизаторах cisco при задании слова ip nat outside трансляции начинают отрабатывать не только для адресов, находящихся за интерфейсами, помеченными как ip nat inside, но и для трафика самого маршрутизатора, даже инициированного от имени внешнего интерфейса.

Таким образом, если мы устанавливаем сессию на адрес маршрутизатора на порт 22, то отвечать он будет с порта 22, но если вдруг подпадет под правило динамического НАТ, то произойдет подмена порта с 22 на некий, из нижнего диапазона (1-1023) и мы не увидим (проигнорируем) ответ

И действительно в конце весьма длинного ACL для NAT было правило permit ip any any.

При создании NAT всегда нужно, что бы в ACL отсутствовало правило permit ip any any. Как вычитал в какой то доке (к сожалению потерял ссылку), начиная с какого то IOS какой то серии (вспомнить бы:)), данное правило будет игнорироваться. Но сейчас его нужно избегать самостоятельно. Естественно правило типа permit ip 10.0.0.0 0.255.255.255 any вполне работает.

UAC виртуализация файловой системы

Для настройки виртуализации UAC необходимо добавить ветку реестра
HKLM\SYSTEM\CurrentControlSet\services\luafv\Parameters\FileList\Device\HarddiskVolumeХ\Путь_к_папке
где в пути HarddiskVolumeХ, Х — номер раздела.

В созданном разделе параметр типа DWORD, названием «Exclude» и значением 0.
Изменения вступят в силу после перезагрузки.
Перенаправленные папки можно найти:
\Users\%username%\AppData\Local\Virtual Store
HKCU\Software\Classes\VirtualStore

Для определения номера системного раздела по точке монтирования необходимо в окне CMD выполнить команду mountvol.exe без параметров.
Список разделов выводиться в формате \\?\Volume.
В полученyом списке определяем номер системного раздела согласно букве тома (нумерация начинается с 1).

Установка net 3.5 framework. Ошибка 0x800F081F

Когда в домене и при WSUS пытаешься добавить компонент через панель управления, то выдаёт ошибку 0x800F081F.

Монтируем диск, с которого ставили ОС или эквивалент (в моём примере диск D:\).

Далее запускаем

C:\Windows\sysNative>dism /Online /Enable-Feature /FeatureName:NetFx3 /All /LimitAccess /Source:D:\sources\sxs

ВАЖНО: обращаю внимание из какой папки происходит запуск. Если запускать из system32, то будет ошибка конфликта версий.

Проверялось на Win10

Embarcadero FireDAC пропускает первый символ в первом TNSname

Если в файле tnsnames.ora данные начинаются с первой строки, то в первом имени пропускается первый символ, а так же пр попытке подключения выстреливает ошибка «[FireDAC][Phys][Ora] ORA-12154: TNS:could not resolve the connect identifier specified».

Для того, что бы всё заработало необходимо просто добавить в начало файла строку комментариев («#»).

Применение правил в pfSense

При изменении правил в Fierwall — Rules и Fierwall — NAT правило применяется только к новым сессиям. Текущие (и запреты и разрешения будут действовать до разрыва сессии).

Для того, что бы оборвать сессию необходимо зайти Diagnostics — Show States и удалить существующие сессии.

Mikrotik+D-Link DFL 260-e

Настройки Mikrotik

/ip firewall nat
add chain=srcnat dst-address=RemoteNet0/24 src-address=LocalNet0/24
add action=masquerade chain=srcnat out-interface=ether5-WAN
/ip ipsec peer
add address=RemoteGW/32 enc-algorithm=aes-128 generate-policy=port-strict local-address=0.0.0.0 mode-config=request-only nat-traversal=no secret=MegaSecretPassword send-initial-contact=no
/ip ipsec policy
add dst-address=RemoteNet0/24 sa-dst-address=RemoteGW sa-src-address=LocalIP src-address=LocalNet0/24 tunnel=yes

Сам настраивал по статьям http://zaraev.blogspot.com/2014/04/mikrotik-ipsec-d-link-dfl-260e.html и http://zaraev.blogspot.ru/2015/08/mikrotik-auto-12-wifi-work-wifi-free.html, но там не очень удобно расписано, что настраивать на стороне Mikrotik (слишком много всего написано).

 

Бан перебора пароля по SSH для Mkrotik

Код скомуниздил с какого то сайта. Добавляю просто для того, что бы следующий раз не гуглить:).

ip firewall filter add chain=input protocol=tcp dst-port=22 src-address-list=ssh_blacklist action=drop comment="drop ssh brute forcers" disabled=no
ip firewall filter add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage3 action=add-src-to-address-list address-list=ssh_blacklist address-list-timeout=3h comment="" disabled=no
ip firewall filter add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage2 action=add-src-to-address-list address-list=ssh_stage3 address-list-timeout=1m comment="" disabled=no
ip firewall filter add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage1 action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m comment="" disabled=no
ip firewall filter add chain=input protocol=tcp dst-port=22 connection-state=new action=add-src-to-address-list address-list=ssh_stage1 address-list-timeout=1m comment="" disabled=no

PowerShell. Список подключённых к Exchange мобильных устройств

$dev=Get-ActiveSyncDevice | select * #получаем список устройств

$DevStat = $dev | foreach{Get-ActiveSyncDeviceStatistics $_.Identity -ErrorAction SilentlyContinue} #для каждого устройства берём статистику

$DevStat | select Identity, LastSuccessSync, DeviceType, Status, StatusNote, DeviceAccessState |Export-Csv DevList.csv -Encoding utf8 #сохраняем в файл необходимые данные. Для выбора всех столбцов “*”

Intel Active System Console «You are offline!! Please check your network.»

После установки Intel Active System Console при попытке входа ошибка «You are offline!! Please check your network.».

Необходимо добавить папку C:\Program Files (x86)\Intel\ASC к переменной path.