Prego, cmq posta la conf in questione "per gli altri".
Ciao
disabilitare telnet
Moderatore: Federico.Lagni
- MaiO
- Messianic Network master
- Messaggi: 1083
- Iscritto il: sab 15 ott , 2005 10:55 am
- Località: Milano
- Contatta:
-=] MaiO [=-
- sum][one
- Cisco power user
- Messaggi: 87
- Iscritto il: ven 11 nov , 2005 12:04 pm
- Località: Italy
- Contatta:
ops hai ragione...
eccola
eccola
Codice: Seleziona tutto
Current configuration : 4214 bytes
!
! Last configuration change at 23:27:48 CET Mon Jan 16 2006
!
version 12.4
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
no service timestamps debug uptime
no service timestamps log uptime
service password-encryption
!
hostname router
!
boot-start-marker
boot-end-marker
!
enable password 7 xxxxxxxx
!
no aaa new-model
!
resource policy
!
memory-size iomem 15
clock timezone CET 1
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
clock save interval 24
prompt %h%s%p
ip cef
!
!
!
!
no ip bootp server
ip name-server 192.168.1.2
!
!
crypto pki trustpoint TP-self-signed-1256524402
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-1256524402
revocation-check none
rsakeypair TP-self-signed-1256524402
!
!
crypto pki certificate chain TP-self-signed-1256524402
certificate self-signed 01
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
quit
!
!
!
interface ATM0/0
no ip address
no ip mroute-cache
no atm ilmi-keepalive
dsl operating-mode auto
pvc 8/35
encapsulation aal5mux ppp dialer
dialer pool-member 1
!
!
interface Ethernet0/0
ip address 192.168.1.1 255.255.255.0
ip nat inside
no ip mroute-cache
half-duplex
hold-queue 100 out
!
interface Ethernet0/1
no ip address
shutdown
half-duplex
!
interface Dialer0
ip address negotiated
ip nat outside
encapsulation ppp
dialer pool 1
dialer-group 1
ppp authentication chap callin
ppp chap hostname xxxxxxxx
ppp chap password 7 xxxxxxxx
!
ip route 0.0.0.0 0.0.0.0 Dialer0
!
no ip http server
no ip http secure-server
ip nat translation timeout 900
ip nat translation tcp-timeout 900
ip nat translation udp-timeout 900
ip nat translation finrst-timeout 900
ip nat translation syn-timeout 120
ip nat translation dns-timeout 300
ip nat translation icmp-timeout 20
ip nat translation max-entries 10240
ip nat inside source list 101 interface Dialer0 overload
ip nat inside source static udp 192.168.1.21 412 interface Dialer0 412
ip nat inside source static tcp 192.168.1.21 412 interface Dialer0 412
ip nat inside source static tcp 192.168.1.2 80 interface Dialer0 80
ip nat inside source static tcp 192.168.1.2 21 interface Dialer0 21
ip nat inside source static tcp 192.168.1.2 22 interface Dialer0 22
ip nat inside source static tcp 192.168.1.2 20 interface Dialer0 20
!
logging trap debugging
logging facility local3
logging source-interface Ethernet0/0
logging 192.168.1.2
access-list 15 permit 192.168.1.0 0.0.0.255
access-list 101 permit ip 192.168.1.0 0.0.0.255 any
access-list 110 permit tcp any host 192.168.1.2 eq telnet
dialer-list 1 protocol ip permit
!
control-plane
!
!
line con 0
line aux 0
line vty 0
access-class 15 in
password 7 xxxxxxxx
login
line vty 1 4
access-class 15 in
no login
!
ntp clock-period 17208462
ntp source Ethernet0/0
ntp server 192.168.1.2
ntp server 193.204.114.232
ntp server 193.204.114.233
!
end
:: jean-claude
:: mimgfx dot com
:: mimgfx dot com
-
- Cisco fan
- Messaggi: 28
- Iscritto il: sab 21 gen , 2006 7:48 pm
- Località: Treviso
ciao a tutti..il mio router è un soho77, grazie alle informazioni in questo thread sono riuscito a chiudere la porta 23 del mio router dall'esterno, ma ora vorrei fare qualcosa di diverso: vorrei impostare due password diverse per l'accesso telnet, una semplice con la quale si può accedere solo dai pc interni alla rete (come posso fare adesso) e una più complessa con la quale si può accedere anche dall'esterno. Ho provato così:
[/quote]
però la porta telnet è ancora chiusa dall'esterno, e non riesco ad accedere neanche dai pc interni con la password lunga.. cosa sbaglio?[...]
access-list 1 permit 192.168.0.0 0.0.0.255
access-list 105 permit ip any any
dialer-list 1 protocol ip permit
!
line con 0
stopbits 1
line vty 0 3
access-class 1 in
password 7 PASSWORDBREVE
login
line vty 4
access-class 105 in
password 7 PASSWORDLUNGA
login
!
[/quote]
-
- Cisco fan
- Messaggi: 28
- Iscritto il: sab 21 gen , 2006 7:48 pm
- Località: Treviso
UPDATE: ho scoperto che con
-lasci la porta di telnet aperta all'esterno
-mi lasci accedere con i pc interni con la password breve e da fuori con la password lunga
succede questo: normalmente la porta 23 dall'esterno è chiusa, ma se io apro 4 sessioni di telnet da pc interni alla rete (cioè saturo le line vty da 0 a 3) come per magia si apre la porta telnet all'esterno, e quindi posso accedere con la password lunga. Come faccio a dare una configurazione doppia in modo che per tutte le linee da 0 a 4line vty 0 3
access-class 1 in
password 7 PASSWORDBREVE
login
line vty 4
password 7 PASSWORDLUNGA
login
-lasci la porta di telnet aperta all'esterno
-mi lasci accedere con i pc interni con la password breve e da fuori con la password lunga
- cisketto
- Cisco pathologically enlightened user
- Messaggi: 178
- Iscritto il: mar 20 dic , 2005 12:02 pm
- Località: Milano
Ciao pierugo86...
Scusa la domanda, forse non ho capito bene la questione... ma a cosa ti serve impostare una acl per la rete inside sulle porte 0-3 quando poi hai la porta 4 aperta a tutti?
Se uno ti deve entrare dall'esterno una gli basta eccome...
Piuttosto...
Crea una acl per le porte 0-4 che permetta l'accesso alle stesse solo dalla rete inside e dagli indirizzi "outside" trusted...
Per la gestione delle password, impostandole direttamente dalla conf delle line puoi impostare una sola pwd... L'unico compromesso è usare AAA, creare due utenti locali al router:
-uno per l'accesso dall'esterno con pwd lunga
-uno per l'accesso dall'interno con pwd corta
è comunque un compromesso nel senso che dall'esterno potresti accedere anche con l'utente creato per l'interno... ma se tu segnali a chi dovrà accedere da fuori solo il proprio account e pwd, aggiri piùo meno il tuo problema..
Ciao,
Cisketto!
Scusa la domanda, forse non ho capito bene la questione... ma a cosa ti serve impostare una acl per la rete inside sulle porte 0-3 quando poi hai la porta 4 aperta a tutti?
Se uno ti deve entrare dall'esterno una gli basta eccome...
Piuttosto...
Crea una acl per le porte 0-4 che permetta l'accesso alle stesse solo dalla rete inside e dagli indirizzi "outside" trusted...
Per la gestione delle password, impostandole direttamente dalla conf delle line puoi impostare una sola pwd... L'unico compromesso è usare AAA, creare due utenti locali al router:
-uno per l'accesso dall'esterno con pwd lunga
-uno per l'accesso dall'interno con pwd corta
è comunque un compromesso nel senso che dall'esterno potresti accedere anche con l'utente creato per l'interno... ma se tu segnali a chi dovrà accedere da fuori solo il proprio account e pwd, aggiri piùo meno il tuo problema..
Ciao,
Cisketto!