Ich muss dafür sorgen, dass mein Telnet-Dienst nur für lokale Benutzer erreichbar ist, nicht für externe Benutzer im Cisco Packet Tracer. Irgendwelche Vorschläge?
Antwort1
Zuerst müssen Sie eine Standardzugriffsliste erstellen. Beispiel:
access-list 10 remark --Restrict Telnet Access--
access-list 10 permit 192.168.10.0 0.0.0.255
access-list 10 deny any log
Sie benötigen die letzte Zeile nicht, da am Ende einer Standardzugriffsliste eine implizite (angenommene) Ablehnung steht, ich persönlich mache sie jedoch gerne explizit und protokolliere Verstöße.
Fügen Sie von dort aus in Ihren vty-Zeilen die Access-Class-Anweisung hinzu:
line vty 0 4
access-class 10 in
line vty 5 15
access-class 10 in
Stellen Sie sicher, dass Sie es auf alle VTY-Leitungen anwenden. In meinem Beispiel habe ich es nur auf die Standard-VTY-Leitungen angewendet, die auf den meisten Cisco-Geräten vorhanden sind.
Bearbeiten:Ich habe gerade den Bildlink in einem Kommentar zu der anderen Antwort gesehen und dieser scheint darauf hinzudeuten, dass Sie einen tatsächlichen Server haben, der für den Telnet-Zugriff vorgesehen ist, anstatt zu versuchen, Telnet auf die Cisco-Geräte selbst zu beschränken.
Hierzu wird die ACL, wie in der anderen Antwort vorgeschlagen, am besten auf diedraußenSchnittstelle von Router1. Beispiel:
access-list 101 remark --Outside interface inbound--
access-list 101 deny tcp any host <IP address of telnet server> eq 23
access-list 101 permit ip any any
Dadurch wird der gesamte Datenverkehr von außerhalb von Router1, der an den Telnet-Server gerichtet ist, blockiert.
Antwort2
[EDIT]: Mit dem Bild, das Sie jetzt bereitgestellt haben, sollte die Zugriffsliste auf der Routerschnittstelle platziert werden, die von Ihrem ISP aus eingeht. Vorausgesetzt, Router2 ist der mit dem Internet verbundene Pfad, sollte die Platzierung bei Router1 erfolgen und eingehend auf der Schnittstelle, die mit Router2 verbunden ist, wenn Router2 Ihrem ISP gehört. Wenn Router2 Ihnen gehört und mit Ihrem ISP verbunden ist, sollte die Platzierung dort erfolgen.
Um nur Telnet am Perimeter zu blockieren, benötigen Sie nur zwei Zeilen in der Zugriffsliste:
access-list 101 deny tcp any any eq 23
access-list 101 permit ip any any
Ich würde immer noch empfehlen, zu lesender Cisco-Link untenda es die grundlegende Praxis und Syntax der Zugriffsliste enthält. In einem Entwurf wie dem, den Sie entworfen haben, möchten Sie wahrscheinlich mehr als nur Telnet blockieren.
Als vertiefende Lektüre wird empfohlen:
- den Cisco IOS-Härtungsleitfaden für Ihre IOS-Versionen und -Geräte, da die von Ihnen angegebenen Designinformationen darauf hinweisen, dass diese relativ weit offen für das Internet sind.Hier ist ein solcher Leitfaden zur Inspiration.
- das ausgezeichneteFirewalls für Dummies. Dies ist nicht als Scherz oder Provokation gedacht, sondern wirklich eines der besten Einführungsbücher zu diesem komplexen Thema auf dem Markt.
Verwenden Sie eine Zugriffsliste.
Wenn der Router die IP-Adresse 192.168.0.10 auf der e0-Schnittstelle hat und Telnet nur vom lokalen Subnetz 192.168.0.0/24 zur e0-Schnittstelle zulassen soll:
interface ethernet0
ip access-group 101 in
!
access-list 101 permit tcp 192.168.0.0 0.0.0.255 host 192.168.0.10 eq 23
access-list 101 deny tcp any any eq 23
access-list 101 permit ip any any
Beachten Sie, dass dieses Beispiel auch Telnet vom Subnetz 192.168.0.0/24 zu anderen Geräten auf der anderen Seite des Routers blockieren würde. Dies kann in der Zugriffsliste problemlos angepasst werden.
Wenn Sie Telnet vollständig blockieren möchten, empfehle ich, es gar nicht erst zu aktivieren.
Allgemeine Cisco-Zugriffslisteneinträge werden beschriebenHier.