Cisco
如何通過 Cisco ACL 將外部訪問列入內部網路伺服器的白名單?
這是我們公司的網際網路網關路由器。這就是我想在我們的 Cisco 2691 路由器上完成的任務:
- 所有員工都需要能夠不受限制地訪問網際網路(我已經用 ACL 阻止了 facebook,但除此之外,完全訪問)
- 有一個內部網路伺服器應該可以從任何內部 IP 地址訪問,但只能從少數外部 IP 地址訪問。基本上,我想將來自網路外部的訪問列入白名單。
- 我沒有硬體防火牆設備。
到目前為止,不需要從外部訪問網路伺服器……或者在任何情況下,偶爾的 VPN 在需要時就足夠了。因此,以下配置就足夠了:
access-list 106 deny ip 66.220.144.0 0.0.7.255 any access-list 106 deny ip ... (so on for the Facebook blocking) access-list 106 permit ip any any ! interface FastEthernet0/0 ip address x.x.x.x 255.255.255.248 ip access-group 106 in ip nat outside
fa0/0
是公網IP的介面但是,當我添加…
ip nat inside source static tcp 192.168.0.52 80 x.x.x.x 80 extendable
…為了將網路流量轉發到網路伺服器,這只是完全打開它。這對我來說很有意義。這是我被難住的地方。如果我在 ACL 中添加一行以明確允許(白名單)一個 IP 範圍……就像這樣:
access-list 106 permit tcp x.x.x.x 0.0.255.255 192.168.0.52 0.0.0.0 eq 80
…然後我如何阻止其他外部訪問網路伺服器,同時仍然保持內部員工不受限制的網際網路訪問?
我嘗試刪除
access-list 106 permit ip any any
. 這最終成為一個非常短暫的配置:)會像
access-list 106 permit ip 192.168.0.0 0.0.0.255 any
“外部入站”工作一樣嗎?
我認為您的外部訪問列表應根據 NAT 操作順序指南 ( http://www.cisco.com/en/US/tech/tk648/tk361/technologies_tech_note09186a0080133ddd ) 引用 192.168.0.52 的全域內部地址 (xxxx) .shtml )
所以下面的配置阻止了 facebook,允許來自允許子網 yyyy 的 TCP 訪問 xxxx,拒絕其他所有發往 xxxx 埠 80 的內容,然後允許其他所有內容。
access-list 106 deny ip 66.220.144.0 0.0.7.255 any access-list 106 deny ip ... (so on for the Facebook blocking) !Where y.y.y.y equals an 'allowed' subnet to hit the webserver, and x.x.x.x equals your outside IP address access-list 106 permit tcp y.y.y.y 0.0.255.255 host x.x.x.x eq 80 access-list 106 deny tcp any x.x.x.x eq 80 access-list 106 permit ip any any ! interface FastEthernet0/0 ip address x.x.x.x 255.255.255.248 ip access-group 106 in ip nat outside