Администрирование Cisco Как ограничить доступ к роутеру по протоколу telnet Fri, March 24 2017  

Поделиться

нашли опечатку?

Пожалуйста, сообщите об этом - просто выделите ошибочное слово или фразу и нажмите Shift Enter.

Как ограничить доступ к роутеру по протоколу telnet Печать
Добавил(а) microsin   

Имеем роутер (C871), который одним интерфейсом смотрит в Интернет, и по VPN подключается к серверу VPN (ASA-5540) удаленного офиса. Задача - сделать так, чтобы можно было администрировать по протоколу SSH откуда угодно (подключаясь и через Интернет, и через локальную сеть), а по протоколу telnet - только изнутри (подключаясь либо с внутренней сети филиала, либо через канал VPN из офиса с ASA-5540, через её внутреннюю сеть). Проще всего было бы отключить доступ к telnet вообще, например:

(config)#line vty 0 4
(config)# transport input ssh
(config)# transport output all

Недостаток этого способа в том, что консоль telnet становится совсем недоступна из всех сетей, в том числе и из внутренних, что не удобно. Решить задачу можно, если наложить access-list на внутренний интерфейс:

ip access-list extended cons-Admin
 deny tcp any any eq telnet log
 permit ip any any

interface FastEthernet4
 ip address 83.219.a.b 255.255.255.248
 ip access-group cons-Admin in

Теперь по telnet можно коннектиться только через соединения по внутренней сети (через Интернет нельзя вообще, даже из наших публичных адресов). По SSH можно коннектиться откуда угодно (и через Интернет, и через локальную сеть). Такой вариант настройки хорош тем, что нельзя снаружи засниферить незащищенный пароль telnet, но надо помнить, что пароль к логину должен быть достаточно стойким к подбору (чтобы нельзя было подобрать его снаружи).

 

Комментарии  

 
+1 #1 alk_banka 26.01.2015 15:42
access-list не на внутренний, а на ВНЕШНИЙ интерфейс надо применять
Цитировать
 

Добавить комментарий


Защитный код
Обновить

Top of Page