скажи если я зарежу в access-list tcp trafik na порт шлюза ( что бы из вне не могли бы к немк подконектиться ) не зарежется ли весь tcp трафик этого шлюза
>скажи если я зарежу в access-list tcp
>trafik na порт шлюза (
>что бы из вне не могли
>бы к немк подконектиться ) не
>зарежется ли весь tcp трафик этого
>шлюзаИзвращения любим?
! Block access to all but the loghost and the firewall, and log any
! denied access attempts. This also serves to create an audit trail
! of all access to the router. Extended ACLs are used to log some
! additional data.
access-list 100 remark VTY Access ACL
access-list 100 permit tcp host 7.7.7.5 host 0.0.0.0 range 22 23 log-input
access-list 100 permit tcp host 6.6.6.1 host 0.0.0.0 range 22 23 log-input
access-list 100 deny ip any any log-input
!
! Leave one VTY safe for access, just in case. The host
! 7.7.7.8 is a secure host in the NOC. If all the VTYs are
! occupied, this leaves one VTY available.
access-list 105 remark VTY Access ACL
access-list 105 permit tcp host 7.7.7.8 host 0.0.0.0 range 22 23 log-input
access-list 105 deny ip any any log-input
!
line vty 0 3
access-class 100 in
exec-timeout 15 0
! Enable SSH connectivity. This is much more secure than telnet.
! Obviously, you must have an IOS image that supports SSH, and don't
! forget to generate the key with crypto key generate rsa.
transport input telnet ssh
line vty 4
access-class 105 in
exec-timeout 15 0
transport input telnet ssh
А если у меня в сети мого шлюзов ... можно конечно такое сделать на каждом cisco но может проще сдела acl лист на оснеовной сisco ?
>А если у меня в сети мого
> шлюзов ... можно
>конечно такое сделать на каждом cisco
>но может проще сдела acl лист на оснеовной
> сisco ?Самое простое на каждой cisco сделать
!
access-list 1 permit XXX.XXX.XXX.XXX
!
line vty 0 4
access-class 7 in
!Тогда на все эти cisco можно будет зайти по телнету только с адреса XXX.XXX.XXX.XXX
access-list 1 permit XXX.XXX.XXX.XXX
!
line vty 0 4
access-class 1 in