Protekcja dostępu SSH do SmartEdge

Acl dopisane do interfejsu 2/3

Przez interfejs 2/3 przedostaje się jedynie ruch SSH od hosta 192.168.2.2 Cały pozostały ruch IP od wszystkich hostów/sieci jest akceptowany przez port 2/3.

!
context test
!
 no ip domain-lookup
!
 interface 2/2
  ip address 192.168.1.2/24
!
 interface 2/3
  ip address 192.168.2.1/24
  ip access-group ACL-1 in
!
 interface llop1 loopback
  ip address 20.20.20.20/32
 no logging console
!
 ip access-list ACL-1 ssh-and-telnet-acl
  seq 10 permit tcp host 192.168.2.2 any eq ssh max-sessions 5 min-sessions 0
  seq 20 deny tcp any any eq ssh
  seq 30 permit ip any any
!
 enable encrypted 1 $1$........$.nNQmFppgs3ECnFPrOgpx/
!
!
 administrator admin encrypted 1 $1$........$.nNQmFppgs3ECnFPrOgpx/
!
!
 ip route 0.0.0.0/0 192.168.1.1
 service ftp client
 service ssh
 service telnet
!
!
!
!
End

Użycie admin-access-group ACL-2 in

Inaczej niż w przykładzie powyżej ACL-2 dopięty jest do kontekstu, a nie interfejsu. Kontekst Test akceptuje wykonanie wewnątrz serwisu SSH. Tylko dla hostów 192.168.2.2, 192.168.2.3

context test
!
 no ip domain-lookup
!
 interface 2/2
  ip address 192.168.1.2/24
!
 interface 2/3
  ip address 192.168.2.1/24
!
 interface llop1 loopback
  ip address 20.20.20.20/32
 no logging console
!
 ip access-list ACL-1 ssh-and-telnet-acl
  seq 10 permit tcp host 192.168.2.2 any eq ssh max-sessions 5 min-sessions 0
  seq 20 deny tcp any any eq ssh
  seq 30 permit ip any any
!
 ip access-list ACL-2
  seq 10 permit tcp host 192.168.2.2 any eq ssh
  seq 15 permit tcp host 192.168.2.3 any eq ssh
  seq 20 deny tcp any any eq ssh
  seq 30 permit ip any any
!
 enable encrypted 1 $1$........$.nNQmFppgs3ECnFPrOgpx/
!
!
 administrator admin encrypted 1 $1$........$.nNQmFppgs3ECnFPrOgpx/
!
!
 ip route 0.0.0.0/0 192.168.1.1
 service ftp client
 service ssh
 service telnet
!
 admin-access-group ACL-2 in
!
!
!
!
end

Leave a Reply

Your email address will not be published. Required fields are marked *