Preciso fazer com que meu serviço telnet seja acessível apenas por usuários locais, e não por alguém de fora do Cisco Packet Tracer. Alguma sugestão, por favor?
Responder1
Primeiro, você precisa criar uma lista de acesso padrão. Por exemplo:
access-list 10 remark --Restrict Telnet Access--
access-list 10 permit 192.168.10.0 0.0.0.255
access-list 10 deny any log
Você não precisa da última linha, pois há uma negação implícita (suposta) no final de uma lista de acesso padrão, mas eu pessoalmente gosto de torná-la explícita e registrar violações.
A partir daí, nas suas linhas vty, adicione a instrução access-class:
line vty 0 4
access-class 10 in
line vty 5 15
access-class 10 in
Certifique-se de aplicá-lo a todas as linhas vty. No meu exemplo, apliquei-o apenas às linhas vty padrão que estão na maioria dos dispositivos Cisco.
Editar:Acabei de ver o link da imagem em um comentário sobre a outra resposta e isso parece indicar que você tem um servidor real designado para fornecer acesso telnet, em vez de limitar o telnet aos próprios dispositivos Cisco.
Para isso, o ACL sugerido na outra resposta seria melhor aplicado aoforainterface do roteador1. Por exemplo:
access-list 101 remark --Outside interface inbound--
access-list 101 deny tcp any host <IP address of telnet server> eq 23
access-list 101 permit ip any any
Isso bloqueará todo o tráfego externo ao roteador1 destinado ao servidor Telnet.
Responder2
[EDIT]: Com a imagem que você forneceu agora, a lista de acesso deve ser colocada na interface do roteador de entrada do seu ISP. Supondo que o Roteador2 seja o caminho conectado à Internet, o posicionamento deve ser feito no Roteador1 e a entrada na interface conectada ao Roteador2 se o Roteador2 for de propriedade do seu ISP. Se o Router2 for de sua propriedade e estiver conectado ao seu ISP, o posicionamento deverá ser feito lá.
Para bloquear apenas o telnet no perímetro você precisa de apenas duas linhas na lista de acesso:
access-list 101 deny tcp any any eq 23
access-list 101 permit ip any any
Eu ainda sugeriria a leiturao link Cisco abaixopois contém a prática e a sintaxe rudimentares da lista de acesso. Em um projeto como o que você elaborou, você provavelmente desejaria bloquear mais do que apenas o telnet.
A leitura aprofundada sugerida é:
- o guia de proteção do Cisco IOS para suas versões e dispositivos IOS, pois as informações de design fornecidas indicam que eles são bastante abertos à Internet,Aqui está um desses guias para inspiração.
- o excelenteFirewalls para leigos. Isto não foi escrito como uma piada ou provocação, é realmente um dos melhores livros introdutórios do mercado para este tema complexo.
Use uma lista de acesso.
Se o roteador tiver o endereço IP 192.168.0.10 na interface e0 e permitir telnet apenas da sub-rede local 192.168.0.0/24 para a interface e0:
interface ethernet0
ip access-group 101 in
!
access-list 101 permit tcp 192.168.0.0 0.0.0.255 host 192.168.0.10 eq 23
access-list 101 deny tcp any any eq 23
access-list 101 permit ip any any
Observe que este exemplo também bloquearia o telnet da sub-rede 192.168.0.0/24 para outros dispositivos no outro lado do roteador. Isso pode ser facilmente personalizado na lista de acesso.
Se você deseja bloquear completamente o telnet, sugiro não ativá-lo.
As entradas comuns da lista de acesso da Cisco são descritasaqui.