PCZONE 討論區

PCZONE 討論區 (https://www.pczone.com.tw/vbb3/)
-   -- 網 路 技 術 版 (https://www.pczone.com.tw/vbb3/forum/29/)
-   -   Cisco Router做得到嗎 (https://www.pczone.com.tw/vbb3/thread/29/154746/)

iamapo 2012-04-06 02:57 PM

Cisco Router做得到嗎
 
網通達人大家好,
請問Cisco Router可以限制遠端IP只能連到我內網的某一台主機嗎??要怎麼做??
My router is cisco 1841 with Version 2.4(13r)T
遠端IP->10.1.1.*
內網主機->192.168.0.6

bx2aa 2012-04-06 10:28 PM

回覆: Cisco Router做得到嗎
 
我的看法用兩條 access-list, 只是我自己的看法, 我連 CCNA 都沒有, 隨便回的.

一條放
1 permit ip 10.0.0.0 0.255.255.255 host 192.168.0.6
只要是 192.168.0.6 都放

一條攔
2 deny tcp 10.0.0.0 0.255.255.255 192.168.0.0 0.0.0.255 syn
把外面對裏面 192.168.0.0 TCP[13] 發起連結 Flag syn 的攔住.

3 permit ip any any
其餘全放

剛剛試 i86bi_linux-adventerprisek9-ms.152-2
CDlinux(7R-SSH-iou2net(perl-python)-WEB)15.iso
重新再測一次, 有順便 telnet 192.168.0.6 和 192.168.0.5 一個通一個不通, 兩條就能達到.
[URL="http://youtu.be/2kgGMroiRWw"]http://youtu.be/2kgGMroiRWw[/URL]

沒 NAT 路由前就先 deny, 有 NAT 路由後出去在 deny 浪費一點 CPU 運算能力.
最好是不要放進來直接在 outside 就先濾掉.
其餘還要考慮前面的 access-list 有沒有先檔掉, 或是要 deny 的前面已經 permit.
那新追加的 access-list 都不會有效果.

Schnaufer 2012-04-07 06:27 PM

回覆: Cisco Router做得到嗎
 
You can check it by yourself => [url]http://www.cisco.com/en/US/products/ps5875/index.html[/url]

chaowb 2012-04-09 03:47 AM

回覆: Cisco Router做得到嗎
 
[QUOTE=iamapo;1116504]網通達人大家好,
請問Cisco Router可以限制遠端IP只能連到我內網的某一台主機嗎??要怎麼做??
My router is cisco 1841 with Version 2.4(13r)T
遠端IP->10.1.1.*
內網主機->192.168.0.6[/QUOTE]

================================

1. 請問您是否有權限存取以及privlege密碼可以登入設備?
可否請您提供這顆Router "sh run" 的設定資訊, line vty/console等帳號密碼(如為明碼),Public IP
可否先移除(或加馬賽克處理)或以假的或Private ip 取代, 以及可否提供大略的網路拓樸架構資訊
是否有 Firewall設備, 還是在Router上已有設定ACL 限制 traffic 流向.

IOS 為 12.4(13r)T 是否正確?

2. 請問再調整之前是否可以先檢查設定(或先備份設定)
目前是否有做 NAT? ip nat inside/ip nat outside/ip access-list xxx overload

3. 外部連到 你的內部主機 是要用 web , telnet, ssh, vpn, 遠端桌面 ,vnc
都可以用, 還是通通不行只允許某一個可以用.

調整設定後可能會導致網路不通或異常, 請問您可以允許單位狀況發生
而使用者不會哀哀叫嗎?


所有時間均為 +8。現在的時間是 04:40 PM



 XML   RSS 2.0   RSS 
本站使用 vBulletin 合法版權程式
站務信箱 : [email protected]

本論壇所有文章僅代表留言者個人意見,並不代表本站之立場,討論區以「即時留言」方式運作,故無法完全監察所有即時留言,若您發現文章可能有異議,請 email :[email protected] 處理。