Cisco

如何通過 Cisco ACL 將外部訪問列入內部網路伺服器的白名單?

  • December 6, 2012

這是我們公司的網際網路網關路由器。這就是我想在我們的 Cisco 2691 路由器上完成的任務:

  • 所有員工都需要能夠不受限制地訪問網際網路(我已經用 ACL 阻止了 facebook,但除此之外,完全訪問)
  • 有一個內部網路伺服器應該可以從任何內部 IP 地址訪問,但只能從少數外部 IP 地址訪問。基本上,我想將來自網路外部的訪問列入白名單。
  • 我沒有硬體防火牆設備。

到目前為止,不需要從外部訪問網路伺服器……或者在任何情況下,偶爾的 VPN 在需要時就足夠了。因此,以下配置就足夠了:

access-list 106 deny   ip 66.220.144.0 0.0.7.255 any
access-list 106 deny   ip ... (so on for the Facebook blocking)
access-list 106 permit ip any any
!
interface FastEthernet0/0
ip address x.x.x.x 255.255.255.248
ip access-group 106 in
ip nat outside

fa0/0是公網IP的介面

但是,當我添加…

ip nat inside source static tcp 192.168.0.52 80 x.x.x.x 80 extendable

…為了將網路流量轉發到網路伺服器,這只是完全打開它。這對我來說很有意義。這是我被難住的地方。如果我在 ACL 中添加一行以明確允許(白名單)一個 IP 範圍……就像這樣:

access-list 106 permit tcp x.x.x.x 0.0.255.255 192.168.0.52 0.0.0.0 eq 80

…然後我如何阻止其他外部訪問網路伺服器,同時仍然保持內部員工不受限制的網際網路訪問?

我嘗試刪除access-list 106 permit ip any any. 這最終成為一個非常短暫的配置:)

會像access-list 106 permit ip 192.168.0.0 0.0.0.255 any“外部入站”工作一樣嗎?

我認為您的外部訪問列表應根據 NAT 操作順序指南 ( http://www.cisco.com/en/US/tech/tk648/tk361/technologies_tech_note09186a0080133ddd ) 引用 192.168.0.52 的全域內部地址 (xxxx) .shtml )

所以下面的配置阻止了 facebook,允許來自允許子網 yyyy 的 TCP 訪問 xxxx,拒絕其他所有發往 xxxx 埠 80 的內容,然後允許其他所有內容。

access-list 106 deny   ip 66.220.144.0 0.0.7.255 any
access-list 106 deny   ip ... (so on for the Facebook blocking)
!Where y.y.y.y equals an 'allowed' subnet to hit the webserver, and x.x.x.x equals your outside IP address
access-list 106 permit tcp y.y.y.y 0.0.255.255 host x.x.x.x eq 80
access-list 106 deny tcp any x.x.x.x eq 80
access-list 106 permit ip any any
!
interface FastEthernet0/0
ip address x.x.x.x 255.255.255.248
ip access-group 106 in
ip nat outside

引用自:https://serverfault.com/questions/455471