Cisco Packet Tracer で、Telnet サービスに外部のユーザーではなくローカル ユーザーのみがアクセスできるようにする必要があります。何か提案はありますか?
答え1
まず、標準アクセス リストを作成する必要があります。例:
access-list 10 remark --Restrict Telnet Access--
access-list 10 permit 192.168.10.0 0.0.0.255
access-list 10 deny any log
標準アクセス リストの最後には暗黙的な (想定される) 拒否があるため、最後の行は必要ありませんが、個人的には明示的に指定して違反をログに記録することを好みます。
そこから、vty 行に access-class ステートメントを追加します。
line vty 0 4
access-class 10 in
line vty 5 15
access-class 10 in
必ずすべての vty 回線に適用してください。私の例では、ほとんどの Cisco デバイスにあるデフォルトの vty 回線に適用しました。
編集:他の回答のコメントの画像リンクを見たところ、Telnet を Cisco デバイス自体に制限するのではなく、Telnet アクセスを提供するために実際に指定されたサーバーがあることを示しているようです。
この場合、他の回答で提案されているACLが最も適しています。外router1 のインターフェース。例:
access-list 101 remark --Outside interface inbound--
access-list 101 deny tcp any host <IP address of telnet server> eq 23
access-list 101 permit ip any any
これにより、ルータ 1 の外部から Telnet サーバー宛てのすべてのトラフィックがブロックされます。
答え2
[編集]: 現在提供されているイメージを使用して、アクセス リストを ISP からの着信側のルータ インターフェイスに配置する必要があります。ルータ 2 がインターネットに接続されたパスであると仮定すると、配置はルータ 1 で行われ、ルータ 2 が ISP によって所有されている場合は、ルータ 2 に接続されたインターフェイスの着信側で行われる必要があります。ルータ 2 が自分の所有であり、ISP に接続されている場合は、そこに配置する必要があります。
境界で Telnet のみをブロックするには、アクセス リストに次の 2 行だけが必要です。
access-list 101 deny tcp any any eq 23
access-list 101 permit ip any any
私はまだ読むことをお勧めします下のシスコリンク基本的なアクセス リストの実践と構文が含まれているためです。 作成した設計では、Telnet 以外のものをブロックすることも考えられます。
詳しく読むことを推奨する文献は次のとおりです。
- 提供された設計情報によると、インターネットに対してかなりオープンであることがわかっているので、お使いのIOSバージョンとデバイス用のCisco IOS強化ガイドを参照してください。インスピレーションのためのガイドがここにあります。
- 優れたファイアウォール初心者向けこれは冗談や挑発で書かれたものではなく、この複雑なテーマに関する市場で最も優れた入門書の 1 つです。
アクセスリストを使用します。
ルータの e0 インターフェイスに IP アドレス 192.168.0.10 があり、ローカル サブネット 192.168.0.0/24 から e0 インターフェイスへの Telnet のみを許可する必要がある場合:
interface ethernet0
ip access-group 101 in
!
access-list 101 permit tcp 192.168.0.0 0.0.0.255 host 192.168.0.10 eq 23
access-list 101 deny tcp any any eq 23
access-list 101 permit ip any any
この例では、192.168.0.0/24 サブネットからルータの反対側にある他のデバイスへの Telnet もブロックされることに注意してください。これはアクセス リストで簡単にカスタマイズできます。
telnet を完全にブロックしたい場合は、最初から有効にしないことをお勧めします。
一般的なシスコのアクセスリストエントリについて説明しますここ。