закрыть доступ к cisco
Добавлено:
17 сен 2009, 12:13 Mechanic
есть cisco 3560G, роутит локалку , реальных ипов на ней нету.
Сейчас появилась необходимость роутить еще и реальные ипы.
Как лучше ограничить доступ по ssh,telnet,web из инет адресов, оставив управление только из одной подсети 10.1.11.0/24 ?
Re: закрыть доступ к cisco
Добавлено:
17 сен 2009, 13:18 lehisnoe
Делается это при помощи аксесс-листов.
Для
telnet и ssh:
- Код: Выделить всё
cs3560-M9#conf t
cs3560-M9(config)#line vty 0 15
cs3560-M9(config-line)#access-class TELNET_from_OFFICE in
где в TELNET_from_OFFICE описаны хосты, кот. разрешен доступ к консоли
для
web:
- Код: Выделить всё
cs3560-M9(config)#ip http access-class 25
где в 25 стандартном аксесс-листе описаны хосты, кот. разрешен доступ к web
Re: закрыть доступ к cisco
Добавлено:
17 сен 2009, 23:12 Mechanic
ок, спасиб
телнет и веб ограничил подсетью.
кстати если кому понадобится, маска в access-list вносится в формате wilcard, с чем долго разбирался
Re: закрыть доступ к cisco
Добавлено:
18 сен 2009, 15:19 root
Mechanic писал(а):кстати если кому понадобится, маска в access-list вносится в формате wilcard
так там об этом и так написано
ct-01(config)#access-list 1 permit 10.10.10.0 ?
A.B.C.D Wildcard bits
log Log matches against this entry
<cr>
учимся пользоваться знаком "
?"