如何限制 Cisco 中的 telnet 存取僅限本地網路使用者

如何限制 Cisco 中的 telnet 存取僅限本地網路使用者

我需要確保我的 telnet 服務只能由本地用戶訪問,而不能由 Cisco Packet Tracer 中的外部任何人存取。請問有什麼建議嗎?

https://i.stack.imgur.com/ZAd9L.png

答案1

首先,您需要建立一個標準存取清單。例如:

access-list 10 remark --Restrict Telnet Access--
access-list 10 permit 192.168.10.0 0.0.0.255
access-list 10 deny any log 

您不需要最後一行,因為標準訪問清單的末尾有一個隱式(假定的)拒絕,但我個人喜歡將其明確化並記錄違規行為。

從那裡,在您的 vty 線路上新增 access-class 語句:

line vty 0 4
access-class 10 in
line vty 5 15
access-class 10 in

確保將其應用到所有 vty 線路。在我的範例中,我只是將其套用至大多數 Cisco 裝置上的預設 vty 線路。

編輯:剛剛在另一個答案的評論中看到了圖像鏈接,這似乎表明您有一個指定用於提供 telnet 訪問的實際伺服器,而不是尋求將 telnet 限製到 Cisco 設備本身。

為此,其他答案中建議的 ACL 最好應用於外部路由器1的介面。例如:

access-list 101 remark --Outside interface inbound--
access-list 101 deny tcp any host <IP address of telnet server> eq 23
access-list 101 permit ip any any

這將阻止從 router1 外部發送到 telnet 伺服器的所有流量。

答案2

[編輯]:根據您現在提供的影像,存取清單應放置在來自 ISP 的入站路由器介面上。假設 Router2 是 Internet 連線路徑,則應在 Router1 上進行放置,如果 Router2 歸您的 ISP 所有,則應在連接到 Router2 的介面上進行入站。如果 Router2 歸您所有並連接到您的 ISP,則應放置在那裡。

要僅在外圍封鎖 telnet,您只需要存取清單中的兩行:

access-list 101 deny tcp any any eq 23
access-list 101 permit ip any any

我仍然建議閱讀下面的思科連結因為它包含基本的存取清單實踐和語法。在您起草的設計中,您可能想要阻止的不僅僅是 telnet。

建議深入閱讀的是:

  • 適用於您的 IOS 版本和設備的 Cisco IOS 強化指南,因為您提供的設計資訊顯示它們對網路相當廣泛開放,這是一份這樣的靈感指南
  • 優秀的傻瓜式防火牆。這不是一個笑話或嘲諷,它確實是市場上關於這個複雜主題的最好的入門書籍之一。

使用訪問清單。

如果路由器 e0 介面上的 IP 位址為 192.168.0.10,並且應允許僅從本機子網路 192.168.0.0/24 遠端登入 e0 介面:

interface ethernet0
ip access-group 101 in
!
access-list 101 permit tcp 192.168.0.0  0.0.0.255 host 192.168.0.10 eq 23
access-list 101 deny tcp any any eq 23
access-list 101 permit ip any any

請注意,此範例也會阻止從 192.168.0.0/24 子網路到路由器遠端的其他裝置的 telnet。這可以在訪問清單中輕鬆自訂。

如果您想完全阻止 telnet,我建議首先不要啟動它。

常見的Cisco存取清單項目描述這裡

相關內容