CiscoForums.it

Un saluto a tutti, non riesco a trovare una regola x fare telnet dalla rete interna, mi spiego meglio
ho un'unica access-list applicata all’interfaccia dialer 0 con access-group in,
nell access-list ho la classica
access-list 131 remark *** ACL ANTI-SPOOFING ***
access-list 131 deny ip host 0.0.0.0 any log
access-list 131 deny ip host 255.255.255.255 any log
access-list 131 deny ip 192.0.2.0 0.0.0.255 any log
access-list 131 deny ip 224.0.0.0 31.255.255.255 any log
access-list 131 deny ip 10.0.0.0 0.255.255.255 any log
access-list 131 deny ip 172.16.0.0 0.15.255.255 any log
access-list 131 deny ip 192.168.0.0 0.0.255.255 any log
access-list 131 deny ip 127.0.0.0 0.255.255.255 any log

ho inserito anche quella x il telnet

access-list 131 remark *** ACL PER SSH e TELNET ***
access-list 131 permit tcp any any eq 22 log
access-list 131 permit tcp any any eq telnet log

line vty 0 4
access-class 131 in
password 7 xxxxxxxxxxxxxxxxx
login

da remoto riesco a fare telnet , ma dalla rete interna no, visto che la mia rete è 192.168.1.0,probabilmente l’acl atnti-spoofing -access-list 131 deny ip 192.168.0.0 0.0.255.255 any log- mi blocca ,infatti vedo i matches aumentare ogni volta che tento telnet da rete interna.
Come potrei fare?
Un grazie anticipato a voi tutti.

Ciao,

Non so che rete interna hai ma il fatto che tra le prime righe della ACL (quindi PRIMA che tu permetta il telnet da qualsiasi indirizzo), compaiano le regole di deny di tutte le possibili reti private (10/8, 172.16/20 e 192.168/16) fa si che tu non renda possibile il telnet dall'interno ma solo dall'esterno.
Ricostrudendo la tua ACL infatti abbiamo:

access-list 131 deny ip host 0.0.0.0 any log
access-list 131 deny ip host 255.255.255.255 any log
access-list 131 deny ip 192.0.2.0 0.0.0.255 any log
access-list 131 deny ip 224.0.0.0 31.255.255.255 any log
access-list 131 deny ip 10.0.0.0 0.255.255.255 any log
access-list 131 deny ip 172.16.0.0 0.15.255.255 any log
access-list 131 deny ip 192.168.0.0 0.0.255.255 any log
access-list 131 deny ip 127.0.0.0 0.255.255.255 any log
access-list 131 permit tcp any any eq 22 log
access-list 131 permit tcp any any eq telnet log

Pertando supponendo che la tua rete interna sia la classica 192.168.0.0/24, non puoi raggiungere il telnet in quanto la ACL ti blocca alla riga 6. Viceversa arrivando da internet non matchi nessuna regola fino alla riga 9 dove permetti il telnet al mondo intero.

Prova ad impostare un permit al posto del deny per la tua rete. Per farlo ti ricordo che devi reinserire TUTTA la ACL in quanto le modifiche vengono interpretate solo come aggiunte in coda, pertanto fai un bel no access-list 131 e poi la reinserisci così Basta questo in quanto implicitamente (non lo vedi ma c'è) al termine della ACL viene immesso in automatico un bel deny ip any any che blocca tutto ciò che non é preventivamente permesso. A tal proposito ti prego di riflettere sulla scelta di permettere a tutto il mondo l'accesso in telnet, fossi in te lo permetterei solo alla rete interna (access-list 131 permit tcp 192.168.0.0 0.0.0.255 any eq telnet)

Saluti

Innanzitutto grazie x la risposta, ho bisogno di gestire da remoto il router,quindi cercavo il modo il più possibile sicuro. Per quanto riguarda il deny ip 192.168.0.0 0.0.255.255,come ho supposto,mi blocca il telnet da rete interna, ma essendo una regola anti-spoofing,cioè attacchi in rete che si basano sulla falsificazione fraudolenta degli indirizzi d’origine,x sicurezza dovrei averlo,quindi cerco un’altra soluzione. Forse, ma non ne sono sicuro, potrei togliere tutte le regole anti-spoofing, attivando l’RPF unicast riverse path forwarding, cioè attivando ip cef e sotto l’interfaccia d’ingresso ip verify unicast reverse-path.Così facendo se all’indirizzo sorgente non è associata una route nella “cef table” esso viene scartato. http://www.cisco.com/en/US/docs/ios/12_ ... cfrpf.html
Cosa ne pensate? Ciao lorbellu.

attivando l’RPF unicast riverse path forwarding, cioè attivando ip cef e sotto l’interfaccia d’ingresso ip verify unicast reverse-path.

Personalmente mi sembra una buona idea.

Saluti