Cisco Packet Tracer에서 외부 사용자가 아닌 로컬 사용자만 내 텔넷 서비스에 연결할 수 있도록 해야 합니다. 제안사항이 있으신가요?
답변1
먼저 표준 액세스 목록을 만들어야 합니다. 예를 들어:
access-list 10 remark --Restrict Telnet Access--
access-list 10 permit 192.168.10.0 0.0.0.255
access-list 10 deny any log
표준 액세스 목록 끝에 암시적(가정) 거부가 있으므로 마지막 줄은 필요하지 않지만 개인적으로 이를 명시적으로 만들고 위반을 기록하는 것을 좋아합니다.
거기에서 vty 줄에 access-class 문을 추가합니다.
line vty 0 4
access-class 10 in
line vty 5 15
access-class 10 in
모든 vty 라인에 적용했는지 확인하십시오. 내 예에서는 대부분의 Cisco 장치에 있는 기본 vty 라인에 이를 적용했습니다.
편집하다:다른 답변에 대한 설명에서 이미지 링크를 보았는데 이는 텔넷을 Cisco 장치 자체로 제한하는 대신 텔넷 액세스를 제공하도록 지정된 실제 서버가 있음을 나타내는 것 같습니다.
이를 위해 다른 답변에서 제안한 ACL이밖의Router1의 인터페이스. 예를 들어:
access-list 101 remark --Outside interface inbound--
access-list 101 deny tcp any host <IP address of telnet server> eq 23
access-list 101 permit ip any any
이렇게 하면 텔넷 서버로 향하는 router1 외부의 모든 트래픽이 차단됩니다.
답변2
[편집]: 지금 제공한 이미지를 사용하면 액세스 목록이 ISP에서 인바운드되는 라우터 인터페이스에 배치되어야 합니다. Router2가 인터넷에 연결된 경로라고 가정하면, 배치는 Router1에 이루어져야 하고, Router2가 ISP에 의해 소유된 경우 Router2에 연결된 인터페이스에 인바운드가 이루어져야 합니다. Router2가 귀하의 소유이고 귀하의 ISP에 연결되어 있는 경우 해당 위치에 배치해야 합니다.
경계에서 텔넷만 차단하려면 액세스 목록에 두 줄만 있으면 됩니다.
access-list 101 deny tcp any any eq 23
access-list 101 permit ip any any
나는 여전히 읽기를 제안하고 싶습니다아래 시스코 링크기초적인 액세스 목록 연습과 구문이 포함되어 있기 때문입니다. 당신이 작성한 설계에서는 텔넷 이상의 기능을 차단하고 싶을 수도 있습니다.
자세한 내용을 읽어볼 것을 권장합니다:
- IOS 버전 및 장치에 대한 Cisco IOS 강화 가이드(귀하가 제공한 설계 정보에 따르면 인터넷에 상당히 광범위하게 개방되어 있음)여기에 영감을 주는 가이드가 있습니다..
- 우수한초보자를 위한 방화벽. 이 책은 농담이나 조롱을 통해 쓰여진 것이 아니며 실제로 이 복잡한 주제에 대해 시중에서 판매되는 최고의 입문서 중 하나입니다.
접근 목록을 사용하세요.
라우터의 e0 인터페이스에 IP 주소가 192.168.0.10이고 로컬 서브넷 192.168.0.0/24에서 e0 인터페이스로의 텔넷만 허용해야 하는 경우:
interface ethernet0
ip access-group 101 in
!
access-list 101 permit tcp 192.168.0.0 0.0.0.255 host 192.168.0.10 eq 23
access-list 101 deny tcp any any eq 23
access-list 101 permit ip any any
이 예에서는 192.168.0.0/24 서브넷에서 라우터 반대쪽에 있는 다른 장치로의 텔넷도 차단합니다. 이는 액세스 목록에서 쉽게 사용자 정의할 수 있습니다.
텔넷을 완전히 차단하려면 처음부터 활성화하지 않는 것이 좋습니다.
일반적인 Cisco 액세스 목록 항목이 설명되어 있습니다.여기.