disabilitare telnet

[MaiO]

Prego, cmq posta la conf in questione "per gli altri".

Ciao

[sum][one]

ops hai ragione...

eccola

Codice: Seleziona tutto

Current configuration : 4214 bytes
!
! Last configuration change at 23:27:48 CET Mon Jan 16 2006
!
version 12.4
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
no service timestamps debug uptime
no service timestamps log uptime
service password-encryption
!
hostname router
!
boot-start-marker
boot-end-marker
!
enable password 7 xxxxxxxx
!
no aaa new-model
!
resource policy
!
memory-size iomem 15
clock timezone CET 1
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
clock save interval 24
prompt %h%s%p
ip cef
!
!
!
!
no ip bootp server
ip name-server 192.168.1.2
!
!
crypto pki trustpoint TP-self-signed-1256524402
 enrollment selfsigned
 subject-name cn=IOS-Self-Signed-Certificate-1256524402
 revocation-check none
 rsakeypair TP-self-signed-1256524402
!
!
crypto pki certificate chain TP-self-signed-1256524402
 certificate self-signed 01
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
  quit
!
!
!
interface ATM0/0
 no ip address
 no ip mroute-cache
 no atm ilmi-keepalive
 dsl operating-mode auto
 pvc 8/35
  encapsulation aal5mux ppp dialer
  dialer pool-member 1
 !
!
interface Ethernet0/0
 ip address 192.168.1.1 255.255.255.0
 ip nat inside
 no ip mroute-cache
 half-duplex
 hold-queue 100 out
!
interface Ethernet0/1
 no ip address
 shutdown
 half-duplex
!
interface Dialer0
 ip address negotiated
 ip nat outside
 encapsulation ppp
 dialer pool 1
 dialer-group 1
 ppp authentication chap callin
 ppp chap hostname xxxxxxxx
 ppp chap password 7 xxxxxxxx
!
ip route 0.0.0.0 0.0.0.0 Dialer0
!
no ip http server
no ip http secure-server
ip nat translation timeout 900
ip nat translation tcp-timeout 900
ip nat translation udp-timeout 900
ip nat translation finrst-timeout 900
ip nat translation syn-timeout 120
ip nat translation dns-timeout 300
ip nat translation icmp-timeout 20
ip nat translation max-entries 10240
ip nat inside source list 101 interface Dialer0 overload
ip nat inside source static udp 192.168.1.21 412 interface Dialer0 412
ip nat inside source static tcp 192.168.1.21 412 interface Dialer0 412
ip nat inside source static tcp 192.168.1.2 80 interface Dialer0 80
ip nat inside source static tcp 192.168.1.2 21 interface Dialer0 21
ip nat inside source static tcp 192.168.1.2 22 interface Dialer0 22
ip nat inside source static tcp 192.168.1.2 20 interface Dialer0 20
!
logging trap debugging
logging facility local3
logging source-interface Ethernet0/0
logging 192.168.1.2
access-list 15 permit 192.168.1.0 0.0.0.255
access-list 101 permit ip 192.168.1.0 0.0.0.255 any
access-list 110 permit tcp any host 192.168.1.2 eq telnet
dialer-list 1 protocol ip permit
!
control-plane
!
!
line con 0
line aux 0
line vty 0
 access-class 15 in
 password 7 xxxxxxxx
 login
line vty 1 4
 access-class 15 in
 no login
!
ntp clock-period 17208462
ntp source Ethernet0/0
ntp server 192.168.1.2
ntp server 193.204.114.232
ntp server 193.204.114.233
!
end

[pierugo86]

ciao a tutti..il mio router è un soho77, grazie alle informazioni in questo thread sono riuscito a chiudere la porta 23 del mio router dall'esterno, ma ora vorrei fare qualcosa di diverso: vorrei impostare due password diverse per l'accesso telnet, una semplice con la quale si può accedere solo dai pc interni alla rete (come posso fare adesso) e una più complessa con la quale si può accedere anche dall'esterno. Ho provato così:

[...]
access-list 1 permit 192.168.0.0 0.0.0.255
access-list 105 permit ip any any
dialer-list 1 protocol ip permit
!
line con 0
stopbits 1
line vty 0 3
access-class 1 in
password 7 PASSWORDBREVE
login
line vty 4
access-class 105 in
password 7 PASSWORDLUNGA
login
!

però la porta telnet è ancora chiusa dall'esterno, e non riesco ad accedere neanche dai pc interni con la password lunga.. cosa sbaglio?
[/quote]

[pierugo86]

UPDATE: ho scoperto che con

line vty 0 3
access-class 1 in
password 7 PASSWORDBREVE
login
line vty 4
password 7 PASSWORDLUNGA
login

succede questo: normalmente la porta 23 dall'esterno è chiusa, ma se io apro 4 sessioni di telnet da pc interni alla rete (cioè saturo le line vty da 0 a 3) come per magia si apre la porta telnet all'esterno, e quindi posso accedere con la password lunga. Come faccio a dare una configurazione doppia in modo che per tutte le linee da 0 a 4
-lasci la porta di telnet aperta all'esterno
-mi lasci accedere con i pc interni con la password breve e da fuori con la password lunga

[mip]

come per magia

Più che "magia" direi che è ovvio.
Il resto delle cose che chiedi non credo si possa fare.
Aspetto eventuale smentita da chi ne sà di più
Ciao

[cisketto]

Ciao pierugo86...
Scusa la domanda, forse non ho capito bene la questione... ma a cosa ti serve impostare una acl per la rete inside sulle porte 0-3 quando poi hai la porta 4 aperta a tutti?
Se uno ti deve entrare dall'esterno una gli basta eccome...
Piuttosto...
Crea una acl per le porte 0-4 che permetta l'accesso alle stesse solo dalla rete inside e dagli indirizzi "outside" trusted...

Per la gestione delle password, impostandole direttamente dalla conf delle line puoi impostare una sola pwd... L'unico compromesso è usare AAA, creare due utenti locali al router:
-uno per l'accesso dall'esterno con pwd lunga
-uno per l'accesso dall'interno con pwd corta
è comunque un compromesso nel senso che dall'esterno potresti accedere anche con l'utente creato per l'interno... ma se tu segnali a chi dovrà accedere da fuori solo il proprio account e pwd, aggiri piùo meno il tuo problema..

Ciao,
Cisketto!