Мне нужно сделать так, чтобы мой сервис telnet был доступен только локальным пользователям, а не кому-либо извне в Cisco Packet Tracer. Какие-нибудь предложения, пожалуйста?
решение1
Для начала вам нужно создать стандартный список доступа. Например:
access-list 10 remark --Restrict Telnet Access--
access-list 10 permit 192.168.10.0 0.0.0.255
access-list 10 deny any log
Последняя строка вам не нужна, так как в конце стандартного списка доступа есть неявный (предполагаемый) запрет, но лично я предпочитаю делать его явным и регистрировать нарушения.
Далее в строках vty добавьте оператор access-class:
line vty 0 4
access-class 10 in
line vty 5 15
access-class 10 in
Убедитесь, что вы применили его ко всем линиям VTY. В моем примере я просто применил его к линиям VTY по умолчанию, которые есть на большинстве устройств Cisco.
Редактировать:Только что увидел ссылку на изображение в комментарии к другому ответу, и это, похоже, указывает на то, что у вас есть реальный сервер, предназначенный для предоставления доступа по протоколу Telnet, а не попытка ограничить Telnet только устройствами Cisco.
Для этого лучше всего применить ACL, предложенный в другом ответе.снаружиинтерфейс маршрутизатора 1. Например:
access-list 101 remark --Outside interface inbound--
access-list 101 deny tcp any host <IP address of telnet server> eq 23
access-list 101 permit ip any any
Это заблокирует весь трафик извне маршрутизатора 1, направленный на сервер Telnet.
решение2
[EDIT]: С помощью изображения, которое вы сейчас предоставили, список доступа должен быть размещен на входящем интерфейсе маршрутизатора от вашего провайдера. Предполагая, что Router2 является подключенным к Интернету путем, размещение должно быть сделано на Router1, и входящем на интерфейсе, подключенном к Router2, если Router2 принадлежит вашему провайдеру. Если Router2 принадлежит вам и подключен к вашему провайдеру, размещение должно быть сделано там.
Чтобы заблокировать только telnet на периметре, вам понадобится всего две строки в списке доступа:
access-list 101 deny tcp any any eq 23
access-list 101 permit ip any any
Я бы все равно посоветовал прочитатьссылка Cisco нижепоскольку он содержит элементарные практики и синтаксис списка доступа. В проекте, подобном тому, что вы набросали, вы, вероятно, захотите заблокировать больше, чем просто telnet.
Рекомендуемая литература для углубленного чтения:
- руководство по усилению защиты Cisco IOS для ваших версий IOS и устройств, поскольку предоставленная вами информация о конструкции указывает на то, что они достаточно широко открыты для Интернета,Вот одно из таких руководств для вдохновения..
- превосходныйБрандмауэры для чайников. Это написано не в качестве шутки или насмешки, это действительно одна из лучших вводных книг на рынке по этой сложной теме.
Используйте список доступа.
Если маршрутизатор имеет IP-адрес 192.168.0.10 на интерфейсе e0 и должен разрешать telnet только из локальной подсети 192.168.0.0/24 на интерфейс e0:
interface ethernet0
ip access-group 101 in
!
access-list 101 permit tcp 192.168.0.0 0.0.0.255 host 192.168.0.10 eq 23
access-list 101 deny tcp any any eq 23
access-list 101 permit ip any any
Обратите внимание, что этот пример также заблокирует telnet из подсети 192.168.0.0/24 к другим устройствам на дальней стороне маршрутизатора. Это можно легко настроить в списке доступа.
Если вы хотите полностью заблокировать Telnet, я советую вам вообще не активировать его.
Описаны общие записи списка доступа Cisco.здесь.