Назад | Перейти на главную страницу

Как ограничить доступ к Telnet только пользователям локальной сети в Cisco

Мне нужно сделать так, чтобы моя служба telnet была доступна только локальным пользователям, а не кому-либо извне в Cisco Packet Tracer. Есть предложения, пожалуйста?

http://i.imgur.com/RfoNjDz.png

Во-первых, вам нужно создать стандартный список доступа. Например:

access-list 10 remark --Restrict Telnet Access--
access-list 10 permit 192.168.10.0 0.0.0.255
access-list 10 deny any log

Вам не нужна последняя строка, поскольку в конце стандартного списка доступа есть неявное (предполагаемое) отклонение, но мне лично нравится делать его явным и регистрировать нарушения.

Оттуда в ваших строках vty добавьте оператор класса доступа:

line vty 0 4
access-class 10 in
line vty 5 15
access-class 10 in

Убедитесь, что вы применили его ко всем строкам VTY. В моем примере я просто применил его к линиям vty по умолчанию, которые есть на большинстве устройств Cisco.

Редактировать: Просто видел ссылку на изображение в комментарии к другому ответу, и это, похоже, указывает на то, что у вас есть фактический сервер, предназначенный для предоставления доступа по telnet, а не для ограничения telnet для самих устройств Cisco.

Для этого ACL, предложенный в другом ответе, лучше всего применять к вне интерфейс router1. Например:

access-list 101 remark --Outside interface inbound--
access-list 101 deny tcp any host <IP address of telnet server> eq 23
access-list 101 permit ip any any

Это заблокирует весь трафик извне router1, направляемый на telnet-сервер.

[РЕДАКТИРОВАТЬ]: С образом, который вы теперь предоставили, список доступа должен быть помещен на интерфейс маршрутизатора, входящий от вашего провайдера. Предполагая, что Router2 - это путь, подключенный к Интернету, размещение должно быть выполнено на Router1, а входящее - на интерфейсе, подключенном к Router2, если Router2 принадлежит вашему интернет-провайдеру. Если Router2 принадлежит вам и подключен к вашему интернет-провайдеру, размещение должно быть выполнено там.

Чтобы заблокировать только telnet по периметру, вам нужно всего две строчки в списке доступа:

access-list 101 deny tcp any any eq 23
access-list 101 permit ip any any

Я все равно предлагаю прочитать ссылка Cisco ниже поскольку он содержит элементарную практику и синтаксис списка доступа. В такой схеме, которую вы разработали, вы, вероятно, захотите заблокировать не только Telnet.

Предлагаемое углубленное чтение:

  • руководство по усилению защиты Cisco IOS для ваших версий и устройств IOS, поскольку предоставленная вами информация о конструкции указывает, что они достаточно широко открыты для Интернета, Вот одно такое руководство для вдохновения.
  • отличный Межсетевые экраны для чайников. Это написано не для шуток или насмешек, это действительно одна из лучших вводных книг на рынке по этой сложной теме.

Используйте список доступа.

Если маршрутизатор имеет IP-адрес 192.168.0.10 на интерфейсе e0 и должен разрешать telnet только из локальной подсети 192.168.0.0/24 на интерфейс e0:

interface ethernet0
ip access-group 101 in
!
access-list 101 permit tcp 192.168.0.0  0.0.0.255 host 192.168.0.10 eq 23
access-list 101 deny tcp any any eq 23
access-list 101 permit ip any any

Обратите внимание, что в этом примере также блокируется telnet из подсети 192.168.0.0/24 к другим устройствам на дальней стороне маршрутизатора. Это можно легко настроить в списке доступа.

Если вы хотите полностью заблокировать Telnet, я предлагаю вообще не активировать его.

Описаны общие записи списка доступа Cisco. Вот.