access-list 101 deny any any eq 256 log! block firewall-1 scans access-list 101 deny any any eq 257 log! block firewall-1 scans access-list 101 deny any any eq 258 log! block firewall-1 scans access-list 101 deny any any eq 1080 log! block socks scans access-list 101 deny any any eq 1745 log! block winsock scans
二�、路徑追蹤
UNIX的traceroute,和NT的 tracert.exe來追蹤到達主機前的最后一跳�����,其有很大的可能性為防火墻��。
若本地主機和目標服務(wù)器之間的路由器對TTL已過期分組作出響應(yīng)�����,則發(fā)現(xiàn)防火墻會較容易�����。然而,有很多路由器�����、防火墻設(shè)置成不返送ICMP TTL 已過期分組,探測包往往在到達目標前幾跳就不再顯示任何路徑信息�。
如何預(yù)防?
因為整個trace path上可能經(jīng)過很多ISP提供的網(wǎng)路����,這些ROUTERE的配置是在你的控制之外的,所以應(yīng)盡可能去控制你的邊界路由器對ICMP TTL響應(yīng)的配置�。
如:access-list 101 deny icmp any any 1 0 ! ttl-exceeded
將邊界路由器配置成接收到TTL值為0��、1的分組時不與響應(yīng)�����。
