弊社のインターネットゲートウェイルーターです。これは、Cisco2691ルータで実現したいことです。
これまで、Webサーバーは外部からアクセス可能である必要はありませんでした...またはいずれにせよ、必要に応じて時折VPNで十分でした。そのため、次の構成で十分です。
access-list 106 deny ip 66.220.144.0 0.0.7.255 any
access-list 106 deny ip ... (so on for the Facebook blocking)
access-list 106 permit ip any any
!
interface FastEthernet0/0
ip address x.x.x.x 255.255.255.248
ip access-group 106 in
ip nat outside
fa0/0
はパブリックIPとのインターフェースです
しかし、私が追加すると...
ip nat inside source static tcp 192.168.0.52 80 x.x.x.x 80 extendable
... WebトラフィックをWebサーバーに転送するために、それはそれを完全に開くだけです。それだけは私には理にかなっています。これは私が困惑するところです。 ACLに行を追加してIP範囲を明示的に許可(ホワイトリスト)すると...次のようになります。
access-list 106 permit tcp x.x.x.x 0.0.255.255 192.168.0.52 0.0.0.0 eq 80
...内部の従業員の無制限のインターネットアクセスを維持しながら、Webサーバーへの他の外部アクセスをブロックするにはどうすればよいですか?
access-list 106 permit ip any any
を削除してみました。それは結局非常に短命の設定です:)
「アウトサイドインバウンド」でのaccess-list 106 permit ip 192.168.0.0 0.0.0.255 any
のようなものは機能しますか?
外部アクセスリストは、NAT操作ガイドの順序( http://www.Cisco。 com/en/US/tech/tk648/tk361/technology_tech_note09186a0080133ddd.shtml )
したがって、以下の構成はfacebookをブロックし、許可されたサブネットy.y.y.yからのTCPがx.x.x.xにヒットすることを許可し、x.x.x.xのポート80宛ての他のすべてを拒否し、それ以外のすべてを許可します。
access-list 106 deny ip 66.220.144.0 0.0.7.255 any
access-list 106 deny ip ... (so on for the Facebook blocking)
!Where y.y.y.y equals an 'allowed' subnet to hit the webserver, and x.x.x.x equals your outside IP address
access-list 106 permit tcp y.y.y.y 0.0.255.255 Host x.x.x.x eq 80
access-list 106 deny tcp any x.x.x.x eq 80
access-list 106 permit ip any any
!
interface FastEthernet0/0
ip address x.x.x.x 255.255.255.248
ip access-group 106 in
ip nat outside