Access-list

[pascone]

Ciao a tutti, sono alle prese per la prima volta con un router

Il router e un cisco 837 dovrei inserire una access-list per permettere di entrare con la porta 22 nel mio server da un indirizzo ip pubblico da me definito yyy

ho messo :

ip nat inside source list 102 interface ATM0.1 overload
ip nat inside source static tcp xxx 22 interface ATM0.1 22
!
se metto

access-list 111 permit tcp any any eq 22 log

riesco ad entrare però da tutti invece io vorrei che entrasse solo il seguente indirizzo yyy cosi ho messo :

access-list 102 permit ip 172.18.8.0 0.0.0.255 any
access-list 111 permit tcp yyy 0.0.0.0 xxx 0.0.0.0 eq 22 log

però cosi non entra

Non ho messo il resto perche credo che non serva,

Mi aiutate a capire se quello che scrivo e giusto?

Come si fa a vedere chi cerca di entrare?


Grazie per l'aiuto

[n3m3]

!-----------------------------------
! In Global
!-----------------------------------
access-list 100 tcp permit host <ip pubblico> host <ip Server> eq 22
access-list 100 ip permit any any eq 22
access-list 100 tcp deny any eq 22
!
!-----------------------------------
! Nell' interfaccia del router
!-----------------------------------
ip access-group 100 {in | out }
!

Vedi un pò cosi...

[[Dj][DMX]]

Ciao!
Allora, io scriverei un'acl di questo tipo:
access-list 111 permit tcp yyy any eq 22
access-list 111 deny tcp any any eq 22 log

In questa maniera, applicando questa acl sull'interfaccia in entrata del router permetti l'entrata verso la porta 22 solo dall'indirizzo yyy e tutti gli altri tentativi di entrata verranno bloccati e loggati.
Dopodichè, per permettere l'accesso solo verso l'IP del tuo server, devi creare un'altra acl da applicare sulla ethernet out dove dici:

access-list 112 permit tcp any xxx eq 22

Spero sia tutto chiaro, per altri eventuali dubbi posta comunque tutta la configurazione.

Ciao