Ciao a tutti, sono alle prese per la prima volta con un router
Il router e un cisco 837 dovrei inserire una access-list per permettere di entrare con la porta 22 nel mio server da un indirizzo ip pubblico da me definito yyy
ho messo :
ip nat inside source list 102 interface ATM0.1 overload
ip nat inside source static tcp xxx 22 interface ATM0.1 22
!
se metto
access-list 111 permit tcp any any eq 22 log
riesco ad entrare però da tutti invece io vorrei che entrasse solo il seguente indirizzo yyy cosi ho messo :
access-list 102 permit ip 172.18.8.0 0.0.0.255 any
access-list 111 permit tcp yyy 0.0.0.0 xxx 0.0.0.0 eq 22 log
però cosi non entra
Non ho messo il resto perche credo che non serva,
Mi aiutate a capire se quello che scrivo e giusto?
Come si fa a vedere chi cerca di entrare?
Grazie per l'aiuto
Access-list
Moderatore: Federico.Lagni
-
- Cisco fan
- Messaggi: 27
- Iscritto il: mer 07 feb , 2007 9:07 am
!-----------------------------------
! In Global
!-----------------------------------
access-list 100 tcp permit host <ip pubblico> host <ip Server> eq 22
access-list 100 ip permit any any eq 22
access-list 100 tcp deny any eq 22
!
!-----------------------------------
! Nell' interfaccia del router
!-----------------------------------
ip access-group 100 {in | out }
!
Vedi un pò cosi...
! In Global
!-----------------------------------
access-list 100 tcp permit host <ip pubblico> host <ip Server> eq 22
access-list 100 ip permit any any eq 22
access-list 100 tcp deny any eq 22
!
!-----------------------------------
! Nell' interfaccia del router
!-----------------------------------
ip access-group 100 {in | out }
!
Vedi un pò cosi...
*****************************************
_n[E]Me_
CCNA intro
*****************************************
_n[E]Me_
CCNA intro
*****************************************
-
- Coamministratore
- Messaggi: 428
- Iscritto il: mer 24 nov , 2004 12:42 am
- Località: Udine
Ciao!
Allora, io scriverei un'acl di questo tipo:
access-list 111 permit tcp yyy any eq 22
access-list 111 deny tcp any any eq 22 log
In questa maniera, applicando questa acl sull'interfaccia in entrata del router permetti l'entrata verso la porta 22 solo dall'indirizzo yyy e tutti gli altri tentativi di entrata verranno bloccati e loggati.
Dopodichè, per permettere l'accesso solo verso l'IP del tuo server, devi creare un'altra acl da applicare sulla ethernet out dove dici:
access-list 112 permit tcp any xxx eq 22
Spero sia tutto chiaro, per altri eventuali dubbi posta comunque tutta la configurazione.
Ciao
Allora, io scriverei un'acl di questo tipo:
access-list 111 permit tcp yyy any eq 22
access-list 111 deny tcp any any eq 22 log
In questa maniera, applicando questa acl sull'interfaccia in entrata del router permetti l'entrata verso la porta 22 solo dall'indirizzo yyy e tutti gli altri tentativi di entrata verranno bloccati e loggati.
Dopodichè, per permettere l'accesso solo verso l'IP del tuo server, devi creare un'altra acl da applicare sulla ethernet out dove dici:
access-list 112 permit tcp any xxx eq 22
Spero sia tutto chiaro, per altri eventuali dubbi posta comunque tutta la configurazione.
Ciao
Io non so se Dio esiste, ma se esiste spero abbia una buona scusa!
Piergiorgio Welby
Piergiorgio Welby