У Cisco IOS есть полезная защита от подбора пароля:
login block-for 60 attempts 3 within 20
В данном случае, если в течение 20 секунд было введено 3 неправильных пароля, логин будет рефьюзиться в течение одной минуты.
Причем refuse достигается тем, что на VTY на минуту вешается ACL sl_def_acl, и соответственно через минуту снимается.
router#show access-lists sl_def_acl Extended IP access list sl_def_acl 10 deny tcp any any eq telnet log (1 match) 20 deny tcp any any eq www log 30 deny tcp any any eq 22 log (15 matches) 40 permit tcp any any eq 22 log
sl_def_acl служебный, и его нельзя поменять или удалить.
если в момент наличия sl_def_acl на VTY сохранить конфигурацию и ребутнуть роутер, это временный конфиг сохранится в стартап, и мы получим неуправляемый роутер.
Подключится можно будет только через консоль.
Добавить комментарий