Назад | Перейти на главную страницу

Как внести в белый список внешний доступ к внутреннему веб-серверу через списки контроля доступа Cisco?

Это маршрутизатор интернет-шлюза нашей компании. Вот чего я хочу добиться на нашем маршрутизаторе Cisco 2691:

До сих пор веб-серверу не требовалось быть доступным извне ... или, в любом случае, время от времени хватало VPN, когда это было необходимо. Таким образом, следующей конфигурации было достаточно:

access-list 106 deny   ip 66.220.144.0 0.0.7.255 any
access-list 106 deny   ip ... (so on for the Facebook blocking)
access-list 106 permit ip any any
!
interface FastEthernet0/0
 ip address x.x.x.x 255.255.255.248
 ip access-group 106 in
 ip nat outside

fa0/0 это интерфейс с публичным IP

Однако когда я добавляю ...

ip nat inside source static tcp 192.168.0.52 80 x.x.x.x 80 extendable

... чтобы перенаправить веб-трафик на веб-сервер, он просто полностью его открывает. Для меня это имеет смысл. Это то, где я захожу в тупик. Если я добавлю строку в ACL, чтобы явно разрешить (занести в белый список) диапазон IP-адресов ... что-то вроде этого:

access-list 106 permit tcp x.x.x.x 0.0.255.255 192.168.0.52 0.0.0.0 eq 80

... как затем заблокировать другой внешний доступ к веб-серверу, сохранив при этом неограниченный доступ в Интернет для внутренних сотрудников?

Я попытался удалить access-list 106 permit ip any any. Это закончилось очень недолговечный конфиг :)

Хотел бы что-нибудь access-list 106 permit ip 192.168.0.0 0.0.0.255 any на "внешнюю-входящую" работу?

Я бы подумал, что ваш внешний список доступа должен ссылаться на глобальный внутренний адрес (x.x.x.x) для 192.168.0.52 на основе руководства по порядку операций NAT (http://www.cisco.com/en/US/tech/tk648/tk361/technologies_tech_note09186a0080133ddd.shtml)

Таким образом, приведенная ниже конфигурация блокирует facebook, позволяет TCP из разрешенной подсети y.y.y.y попадать в x.x.x.x, запрещает все остальное, предназначенное для порта 80 x.x.x.x, а затем разрешает все остальное.

access-list 106 deny   ip 66.220.144.0 0.0.7.255 any
access-list 106 deny   ip ... (so on for the Facebook blocking)
!Where y.y.y.y equals an 'allowed' subnet to hit the webserver, and x.x.x.x equals your outside IP address
access-list 106 permit tcp y.y.y.y 0.0.255.255 host x.x.x.x eq 80
access-list 106 deny tcp any x.x.x.x eq 80
access-list 106 permit ip any any
!
interface FastEthernet0/0
 ip address x.x.x.x 255.255.255.248
 ip access-group 106 in
 ip nat outside