[ESR] Рекомендации по организации доступа до маршрутизатора из публичной сети
- При подключении маршрутизатора к публичной сети крайне нежелательно открывать доступ до самого маршрутизатора из публичной сети. Если такая необходимость есть - SSH-сервер на маршрутизаторе необходимо запускать на нестандартном TCP-порту (не на 22м)
Для включения на маршрутизаторе SSH-сервера необходимо добавить в глобальную конфигурацию маршрутизатора следующую команду:
esr(config)# ip ssh server
Для запуска SSH-сервера на нестандартном порту, необходимо добавить в глобальную конфигурацию маршрутизатора следующую команду:
esr(config)# ip ssh port 65022
В данном примере, 65022 - номер TCP-порта на котором будет доступен протокол SSH.
По умолчанию на маршрутизаторе указан 22 TCP-порт, который является стандартным для протокола SSH.
- При организации доступа до маршрутизатора из публичной сети желательно ограничить список ip-адресов, которым разрешен доступ до маршрутизатора.
Для примера, на маршрутизаторе уже создан ip-интерфейс, подключенный к публичной сети, и он включен в зону безопасности WAN
esr(config)# security zone WAN
esr(config-zone)# exit
esr(config)# interface gigabitethernet 1/0/1
esr(config-if-gi)# security-zone WAN
esr(config-if-gi)# ip address 192.0.2.1/30
esr(config-if-gi)# exit
esr(config)# ip route 0.0.0.0/0 192.0.2.2
Для разрешения доступа к маршрутизатору из публичной сети с узлов 198.51.100.15 и 203.0.113.74 по протоколу SSH на порт 65022 необходимо применить следующую конфигурацию:
esr(config)# object-group service SSH
esr(config-object-group-service)# port-range 65022
esr(config-object-group-service)# exit
esr(config)#
esr(config)# object-group network REMOTE_SSH
esr(config-object-group-network)# ip address-range 198.51.100.15
esr(config-object-group-network)# ip address-range 203.0.113.74
esr(config-object-group-network)# exit
esr(config)# security zone-pair WAN self
esr(config-zone-pair)# rule 10
esr(config-zone-pair-rule)# action permit
esr(config-zone-pair-rule)# match protocol tcp
esr(config-zone-pair-rule)# match source-address REMOTE_SSH
esr(config-zone-pair-rule)# match destination-port SSH
esr(config-zone-pair-rule)# enable
esr(config-zone-pair-rule)# exit
esr(config-zone-pair)# exit
Любые изменения конфигурации на маршрутизаторах ESR всупают в силу только после выполнения команды commit и confirm в привеллигированном режиме.
esr# commit
esr# confirm
Источник:
docs.eltex-co.ru