Это маршрутизатор интернет-шлюза нашей компании. Вот чего я хочу добиться на нашем маршрутизаторе Cisco 2691:
До сих пор веб-серверу не требовалось быть доступным извне ... или, в любом случае, время от времени хватало VPN, когда это было необходимо. Таким образом, следующей конфигурации было достаточно:
access-list 106 deny ip 66.220.144.0 0.0.7.255 any
access-list 106 deny ip ... (so on for the Facebook blocking)
access-list 106 permit ip any any
!
interface FastEthernet0/0
ip address x.x.x.x 255.255.255.248
ip access-group 106 in
ip nat outside
fa0/0
это интерфейс с публичным IP
Однако когда я добавляю ...
ip nat inside source static tcp 192.168.0.52 80 x.x.x.x 80 extendable
... чтобы перенаправить веб-трафик на веб-сервер, он просто полностью его открывает. Для меня это имеет смысл. Это то, где я захожу в тупик. Если я добавлю строку в ACL, чтобы явно разрешить (занести в белый список) диапазон IP-адресов ... что-то вроде этого:
access-list 106 permit tcp x.x.x.x 0.0.255.255 192.168.0.52 0.0.0.0 eq 80
... как затем заблокировать другой внешний доступ к веб-серверу, сохранив при этом неограниченный доступ в Интернет для внутренних сотрудников?
Я попытался удалить access-list 106 permit ip any any
. Это закончилось очень недолговечный конфиг :)
Хотел бы что-нибудь access-list 106 permit ip 192.168.0.0 0.0.0.255 any
на "внешнюю-входящую" работу?
Я бы подумал, что ваш внешний список доступа должен ссылаться на глобальный внутренний адрес (x.x.x.x) для 192.168.0.52 на основе руководства по порядку операций NAT (http://www.cisco.com/en/US/tech/tk648/tk361/technologies_tech_note09186a0080133ddd.shtml)
Таким образом, приведенная ниже конфигурация блокирует facebook, позволяет TCP из разрешенной подсети y.y.y.y попадать в x.x.x.x, запрещает все остальное, предназначенное для порта 80 x.x.x.x, а затем разрешает все остальное.
access-list 106 deny ip 66.220.144.0 0.0.7.255 any
access-list 106 deny ip ... (so on for the Facebook blocking)
!Where y.y.y.y equals an 'allowed' subnet to hit the webserver, and x.x.x.x equals your outside IP address
access-list 106 permit tcp y.y.y.y 0.0.255.255 host x.x.x.x eq 80
access-list 106 deny tcp any x.x.x.x eq 80
access-list 106 permit ip any any
!
interface FastEthernet0/0
ip address x.x.x.x 255.255.255.248
ip access-group 106 in
ip nat outside