web-dev-qa-db-ja.com

Cisco ACLを介して内部Webサーバーへの外部アクセスをホワイトリストに登録するにはどうすればよいですか?

弊社のインターネットゲートウェイルーターです。これは、Cisco2691ルータで実現したいことです。

  • すべての従業員がインターネットに無制限にアクセスできる必要があります(私はACLでFacebookをブロックしましたが、それ以外はフルアクセスです)
  • 内部IPアドレスからアクセスできる必要がある内部Webサーバーがありますが、選択したいくつかの外部IPアドレスのみです。基本的に、ネットワーク外からのアクセスをホワイトリストに登録したいと思います。
  • ハードウェアファイアウォールアプライアンスを持っていません。

これまで、Webサーバーは外部からアクセス可能である必要はありませんでした...またはいずれにせよ、必要に応じて時折VPNで十分でした。そのため、次の構成で十分です。

access-list 106 deny   ip 66.220.144.0 0.0.7.255 any
access-list 106 deny   ip ... (so on for the Facebook blocking)
access-list 106 permit ip any any
!
interface FastEthernet0/0
 ip address x.x.x.x 255.255.255.248
 ip access-group 106 in
 ip nat outside

fa0/0はパブリックIPとのインターフェースです

しかし、私が追加すると...

ip nat inside source static tcp 192.168.0.52 80 x.x.x.x 80 extendable

... WebトラフィックをWebサーバーに転送するために、それはそれを完全に開くだけです。それだけは私には理にかなっています。これは私が困惑するところです。 ACLに行を追加してIP範囲を明示的に許可(ホワイトリスト)すると...次のようになります。

access-list 106 permit tcp x.x.x.x 0.0.255.255 192.168.0.52 0.0.0.0 eq 80

...内部の従業員の無制限のインターネットアクセスを維持しながら、Webサーバーへの他の外部アクセスをブロックするにはどうすればよいですか?

access-list 106 permit ip any anyを削除してみました。それは結局非常に短命の設定です:)

「アウトサイドインバウンド」でのaccess-list 106 permit ip 192.168.0.0 0.0.0.255 anyのようなものは機能しますか?

1
JoshP

外部アクセスリストは、NAT操作ガイドの順序( http://www.Cisco。 com/en/US/tech/tk648/tk361/technology_tech_note09186a0080133ddd.shtml

したがって、以下の構成はfacebookをブロックし、許可されたサブネットy.y.y.yからのTCPがx.x.x.xにヒットすることを許可し、x.x.x.xのポート80宛ての他のすべてを拒否し、それ以外のすべてを許可します。

access-list 106 deny   ip 66.220.144.0 0.0.7.255 any
access-list 106 deny   ip ... (so on for the Facebook blocking)
!Where y.y.y.y equals an 'allowed' subnet to hit the webserver, and x.x.x.x equals your outside IP address
access-list 106 permit tcp y.y.y.y 0.0.255.255 Host x.x.x.x eq 80
access-list 106 deny tcp any x.x.x.x eq 80
access-list 106 permit ip any any
!
interface FastEthernet0/0
 ip address x.x.x.x 255.255.255.248
 ip access-group 106 in
 ip nat outside
1
Jason Seemann