Posted by: admin (mag 29)
Filtrare sul nostro router cisco le porte giuste da proteggere dei nostri servers è sicuramente un dovere indispensabile. Nell'esempio sotto riporto come filtrare la sola porta ssh:
- alla console date il comando:
- enable
- Quindi inserite la password.
- ora potere dare un occhio alla configurazione in uso col comando:
- show running-config
- prendete visione delle interfacce che volete filtrare (nel nostro esempio sarà una seriale)
- ora date il comando:
- config termina
- A seguito i comandi necessari per fare un'access list minimale ma funzionante battezzata 101:
- access-list 101 permit tcp any any established
- access-list 101 deny tcp any 212.69.128.0 0.0.0.255 eq 22 log
- access-list 101 permit ip any any
- la nostra access list è bella che pronta. ora dobbiamo passare alla nostra interfaccia:
- interface serial1/1.1
- e poi attivate l'access list desiderata col seguente comando:
- ip access-group 101 in
- voila, il gioco è fatto, salvo restando che se avete sbagliato qualcosa non passerà più nemmeno un pacchetto, potete sempre riavviare il router. Se invece tutto fila liscio allora non vi resta che dare il comand:
- write
- ctrl +z
- e se prorpio volete prima di uscire potete dare un occhio alle statistiche dell'access list:
- show access-list
Per arrivare a questa estrema sintesi si deve passare per più ampi orizzonti, a questo link potete trovare il know-how di cui mi sono nutrito per far filtrare ai router cisco almeno una parte di quello che si dovrebbe.
0 Comments