×

Mensaje de advertencia

  • Cisco Support Forums is in Read Only mode while the site is being migrated.
  • Cisco Support Forums is in Read Only mode while the site is being migrated.

access-list y redirección de puertos

Sin Contestar
Oct 30th, 2015
User Badges:

Buenos días, 

Tengo una duda, y después de buscar información por los foros y los manuales, no termino de encontrar la solución.


El caso es que tenemos un router C860 de acceso a internet mediante la interfaz Dialer1, y en la Vlan1 (lan) nuestra red. 

Tenemos servidores Windows en la red y en el router tenemos hecha una redirección de puertos para acceder a terminal server para la gestión y mantenimiento por parte de una empresa externa, pero con la configuración actual podrían acceder al servidor desde cualquier origen, y sólo la seguridad del sistema sería la que bloquearía a los posibles atacantes.


Lo que queremos hacer es una lista de acceso para que sólo desde una ip definida puedan acceder al servidor a través del puerto redireccionado.

Esta es la configuración de los puertos y la lista de acceso:

ip nat inside source list 102 interface Dialer1 overload
ip nat inside source static tcp 192.168.0.200 3389 interface Dialer1 3389
ip route 0.0.0.0 0.0.0.0 Dialer1

access-list 102 permit ip 192.168.0.0 0.0.0.255 any
dialer-list 1 protocol ip permit

He creado nuevas entradas en la lista 102 pero no logro configurarlo correctamente.


Gracias, un saludo.

Loading.
asigachev Sáb, 11/07/2015 - 18:10
User Badges:

ACL 102 lo que hace es seleccionar el tráfico que levante la interfaz Dialer. No es para restringir el acceso.

Lo que tienes que hacer es un ACL en la entrada le la interfaz Dialer

Algo así:

access-list 112 permit tcp host <ip de la empresa externa> any eq 3389 
access-list 112 deny tcp any any eq 3389
access-list 112 permit ip any any
interface Dialer 1
ip access-group 112 in

Linea 1 permite RDP desde la IP de la empresa que maneja el servidor

Linea 2 prohibe todo el resto del tráfico RDP hacia tu interfaz Dialer

Linea 3 permite todo el resto del tráfico

Acciones

Este Discusión