Necesito asegurarme de que mi servicio telnet solo sea accesible para usuarios locales, no para nadie externo en Cisco Packet Tracer. ¿Alguna sugerencia por favor?
Respuesta1
Primero, necesita crear una lista de acceso estándar. Por ejemplo:
access-list 10 remark --Restrict Telnet Access--
access-list 10 permit 192.168.10.0 0.0.0.255
access-list 10 deny any log
No necesita la última línea, ya que hay una denegación implícita (supuesta) al final de una lista de acceso estándar, pero a mí personalmente me gusta hacerlo explícito y registrar las infracciones.
Desde allí, en sus líneas vty agregue la declaración de clase de acceso:
line vty 0 4
access-class 10 in
line vty 5 15
access-class 10 in
Asegúrese de aplicarlo a todas las líneas vty. En mi ejemplo, simplemente lo apliqué a las líneas vty predeterminadas que se encuentran en la mayoría de los dispositivos Cisco.
Editar:Acabo de ver el enlace de la imagen en un comentario sobre la otra respuesta y esto parece indicar que tiene un servidor real designado para proporcionar acceso a telnet, en lugar de buscar limitar telnet a los dispositivos Cisco.
Para esto, la ACL como se sugiere en la otra respuesta se aplicaría mejor a laafuerainterfaz del enrutador1. Por ejemplo:
access-list 101 remark --Outside interface inbound--
access-list 101 deny tcp any host <IP address of telnet server> eq 23
access-list 101 permit ip any any
Esto bloqueará todo el tráfico desde fuera del enrutador1 destinado al servidor telnet.
Respuesta2
[EDITAR]: Con la imagen que ha proporcionado ahora, la lista de acceso debe colocarse en la interfaz del enrutador entrante desde su ISP. Suponiendo que el enrutador 2 es la ruta de conexión a Internet, la ubicación debe realizarse en el enrutador 1 y la entrada en la interfaz conectada al enrutador 2 si el enrutador 2 es propiedad de su ISP. Si el Router2 es de su propiedad y está conectado a su ISP, la ubicación debe realizarse allí.
Para bloquear sólo telnet en el perímetro sólo necesitas dos líneas en la lista de acceso:
access-list 101 deny tcp any any eq 23
access-list 101 permit ip any any
Todavía sugeriría leerel enlace de Cisco a continuaciónya que contiene la práctica y la sintaxis rudimentarias de la lista de acceso. En un diseño como el que ha redactado, probablemente desee bloquear algo más que telnet.
La lectura en profundidad sugerida es:
- la guía de refuerzo de IOS de Cisco para sus versiones y dispositivos de IOS, ya que la información de diseño que proporciona indica que están bastante abiertos a Internet,Aquí hay una de esas guías para inspirarse..
- el excelenteCortafuegos para tontos. Esto no está escrito a modo de broma o burla, realmente es uno de los mejores libros de introducción que existen en el mercado para este complejo tema.
Utilice una lista de acceso.
Si el enrutador tiene la dirección IP 192.168.0.10 en la interfaz e0 y debe permitir telnet solo desde la subred local 192.168.0.0/24 a la interfaz e0:
interface ethernet0
ip access-group 101 in
!
access-list 101 permit tcp 192.168.0.0 0.0.0.255 host 192.168.0.10 eq 23
access-list 101 deny tcp any any eq 23
access-list 101 permit ip any any
Tenga en cuenta que este ejemplo también bloquearía telnet desde la subred 192.168.0.0/24 a otros dispositivos en el lado opuesto del enrutador. Esto se puede personalizar fácilmente en la lista de acceso.
Si desea bloquear Telnet por completo, le sugiero que no lo active en primer lugar.
Se describen las entradas comunes de la lista de acceso de Cisco.aquí.