Zavier's Blog

H3C路由器使用ACL禁止外网Telnet和SSH

H3C-MSR系列路由器开局默认允许外网telnet和web管理,经过对大部分企业专线IP段扫描,发现大部分使用H3C路由器作为出口网关的中小企业,并未在出口路由器上配置ACL策略以屏蔽远程管理端口。由于大部分运营商已在上层路由屏蔽非IDC机房IP段的80,8080,445端口,所以只需在路由器上做ACL禁止外网或者仅允许指定IP进行Telnet和SSH

MSR系列大部分无法从WEB界面配置ACL,需要在命令行下进行配置。

以下两种方法可达到禁止外网管理的目的。

假设管理员vlan的IP段是172.31.255.0/24,ACL配置如下

<H3C>system-view

[H3C]acl num 2100 

[H3C-acl-basic-2100]rule 10 permit source 172.31.255.0 0.0.0.255

[H3C-acl-basic-2100]rule 100 deny

[H3C-acl-basic-2100]quit

[H3C]user-interface vty 0 4

[H3C-ui-vty-0-4]acl 2100 inbound

[H3C-ui-vty-0-4]quit

此方法可以禁止外网telnet或者ssh,但是从外网仍然可以扫描到主机开放的22,23端口,系统会产生大量来自世界各国的IP登录失败的日志。


方法二:使用高级ACL来阻断外网的请求,假设企业出口固定IP为1.1.1.1

<H3C>system-view

[H3C]acl num 3100

[H3C-acl-adv-3100]rule 10 permit tcp source 172.31.255.0 0.0.0.255 destination-port eq 23

[H3C-acl-adv-3100]rule 11 permit tcp source 172.31.255.0 0.0.0.255 destination-port eq 22

[H3C-acl-adv-3100]rule 100 deny tcp destination 1.1.1.1 0 destination-port eq 23

[H3C-acl-adv-3100]rule 110 deny tcp destination 1.1.1.1 0 destination-port eq 22

[H3C-acl-adv-3100]quit

[H3C]interface g0/0  #假设WAN口是GE0/0

[H3C-GigabitEthernet0/0] acl 3100 inbound

[H3C-GigabitEthernet0/0]quit

[H3C]firewall enable

[H3C]save

方法二使用高级ACL可以完全阻断来自外网的telnet、ssh请求,可以使黑客无法扫描到端口。

发表评论:

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

Copyright © 2017-2019 Zavier的博客.网站地图