cisco router configuration

思科路由器的ACL访问控制与端口映射

到这里为止,这台路由器作为一般家用的的功能已经基本上全都实现了。本篇简要介绍一下根据特定需要配置访问控制与端口映射的方法。

网络安全配置

其实之前说过,企业级路由器的默认行为就是不启用,不转发的,所以默认状态下所有的常用端口对外都是关闭的,并不会有什么问题。如果想要进一步完善配置,这里给出几个安全策略的示例以供参考:

访问控制列表(ACL)

#拒绝来自内网IP的数据
access-list 100 deny   ip 0.0.0.0 0.255.255.255 any
access-list 100 deny   ip 10.0.0.0 0.255.255.255 any
access-list 100 deny   ip 127.0.0.0 0.255.255.255 any
access-list 100 deny   ip 169.254.0.0 0.0.255.255 any
access-list 100 deny   ip 172.16.0.0 0.15.255.255 any
access-list 100 deny   ip 192.0.2.0 0.0.0.255 any
access-list 100 deny   ip 192.168.0.0 0.0.0.255 any
access-list 100 deny   ip 224.0.0.0 15.255.255.255 any
access-list 100 deny   ip 240.0.0.0 15.255.255.255 any
#禁止微软文件共享服务
access-list 100 deny   tcp any any range 137 139
access-list 100 deny   tcp any range 137 139 any
#拒绝NetBios请求
access-list 100 deny   udp any any range netbios-ns netbios-ss
access-list 100 deny   udp any range netbios-ns netbios-ss any
#禁止SMB协议
access-list 100 deny   tcp any any eq 445
access-list 100 deny   tcp any eq 445 any
access-list 100 deny   udp any any eq 445
access-list 100 deny   udp any eq 445 any
#禁止telnet连接
access-list 100 deny   tcp any any eq telnet
#允许其它的ip和端口转发
access-list 100 permit ip any any

#应用到Dialer1
interface Dialer1
    ip access-group 100 in
    exit

递归ACL

使用访问列表对访问流量进行手动控制很直观,但是难免有遗漏。如果不需要建立可以从外部访问的服务器的话,可以使用递归ACL。由于不论是浏览网页还是通过软件对外部服务器进行通信,都是客户端首先主动发出请求,再接收服务器响应的,递归ACL就是利用了这一特性。
递归ACL的工作方式遵循以下规则:

  • 路由器会记录发出的数据包
  • 在收到数据包时判断是不是发出过的数据包的回信,如果不是则丢弃。
ip access-list extended IN_LSIT
evaluate ICMP
deny icmp any any
permit ip any any

ip access-list extended OUT_LIST
permit icmp any any reflect ICMP
permit ip any any

interface Vlan1
    ip access-group IN_LIST in
    ip access-group OUT_LIST out

这样就可以从根本上杜绝来自外界的主动访问了。

端口映射

经过这一段时间的折腾研究,我不仅重新复习了网络方面的基本知识,而且在兴趣的驱使下我决定在自己家里运营一台服务器,建立一个属于自己的博客网站。为了让这个网站能够对外公开,还需要在路由器上进行端口映射,开启80(http)和443(https)端口。
假设服务器的内网ip地址为192.168.1.200:

ip nat inside source static tcp 192.168.1.200 80 interface Dialer1 80
ip nat inside source static tcp 192.168.1.200 443 interface Dialer1 443

另外不要忘了修改访问列表允许来自外部对服务器的访问:

access-list 100 permit tcp any host Dialer1 eq 80
access-list 100 permit tcp any host Dialer1 eq 443

后记

目前路由器运行稳定,关于路由器配置的专题也到此为止。接下来开始记录从给服务器插电源到发出第一篇博客(也就是这个系列的第0篇)的全过程。

Ads