вторник, 24 февраля 2009 г.

IOS

Ограничение доступа с внешних адресов, по определенному протоколу (на примере telnet).
- Входим в режим конфигурирования.
- Создаем список доступа. Т.к. мы хотим фильтровать трафик по протоколу, то нам нужно создать расширенный список доступа и значит его номер должен быть от 100 до 199
access-list 100 deny tcp any host 195.98.01.97 eq telnet
(Пояснения. access-list 100 deny[запретить или permit] tcp[по протоколу] any[адрес источника м.б. host] host 195.98.01.97[адрес приемника м.б. any] eq[равно. Оператор- м.б. и другие логические значения] telnet[по службе (можно по порту)]. Это правило запрещает обмен пакетами по протоколу tcp от любого источника в адрес 195.98.01.97 по порту 23(telnet)).
- access-list 100 permit ip any any (Это правило разрешает любой трафик по ip, описание которого не соответствует предыдущей строке)
- Применяем созданный список к пакетам идущим через определенный интерфейс в определенном направлении (для этого используется комманда ip access-group на нужном интерфейсе- в нашем случае dialer1)
- int d1 (приглашение получает вид [MyIT.c827(config-if)#])
- ip access-group 100 in (in - inbound packets)

Снятие ограничения доступа к конфигурированию с внешних адресов (по telnet).
- В режиме конфигурирования интерфейса Dialer1 вводим:
no ip access-group 100 in

Перенаправление вызова с внешнего порта на «серый адрес»
- Входим в режим конфигурирования.
- ip nat inside source static tcp 192.168.0.11[внутренний адрес] 3389[внутренний порт] 195.98.01.97[реальный адрес] 3389[внешний порт].

Добавление второго сетевого адреса.
- Входим в (глобальный) режим конфигурирования.
- int E0 [Входим в режим конфигурирования интерфейса Ethernet0]
- ip address 192.168.1.1 255.255.255.0 secondary [Если есть необходимость осуществлять с этого адреса доступ в Интернет, то его (в нашем случае) надо добавить в access-list 1]
- access-list 1 permit 192.168.1.0 0.0.0.255
- [Также можно создать новый access-list и прописать использование для него nat при помощи команды]
ip nat inside source list 2 interface Dialer1 overload
ДАННАЯ КОНСТРУКЦИЯ АКТУАЛЬНА ПРИ НАСТРОЙКЕ ИЛИ ИЗМЕНЕНИИ ЛЮБОГО ВНУТРЕННЕГО АДРЕСА И ВКЛЮЧЕНИИ NAT

Перезагрузка через заданный интервал времени (полезно при конфигурировании удаленного маршрутизатора, в том случае когда результат конфигурирования не однозначен и может привести к недоступности)
reload in [время]
Время вводим в формате- mm (если минуты) или hh:mm

Пропускание трафика с внешнего интерфейса на внутренний без маршрутизации- режим ip unnumbered
- Удаляем на интерфейсе Dialer1 наш внешний ip адрес
no ip address 195.98.01.97 255.255.255.248
- Разрешаем пересылку всего трафика на интерфейс Ethernet0
ip unnumbered Ethernet0
- Назначаем внешний ip адрес вторым адресом на интерфейсе Ethernet0
ip address 195.98.01.97 255.255.255.248 secondary
- Не забываем настроить маршрутизацию- все на внешний интерфейс (если он ассоциирован с логическим (dialer x) то на него)
ip route 0.0.0.0 0.0.0.0 Dialer0
Или в SDM

Комментариев нет:

Отправить комментарий