我已经带着这个东西在家里转了好几天了,但还没找到一个可行的解决方案。我也没有找到阻止 HTTP 访问管理平面的方法,我不得不放弃并完全禁用它。
在我的演出中:
ip access-list extended DENIED_SSH_ACCESS
deny tcp any host 192.168.1.2 eq 22
permit ip any any
我尝试过把它放进去:
interface Dialer0
ip access-group DENIED-SSH-ACCESS in
这仍然允许从 wan 到路由器的 ssh 访问。
我也尝试过把它放进去:
GigabiteEthernet8 以及接口 Ethernet0.10 也同样不会阻止 ssh 访问。
我不会尝试将其放入 VLAN1,因为我很确定这是我的内部网络并且会将我锁定。
如何彻底关闭从 Cisco 890 上的 WAN 对管理平面的 SSH 访问?
我看过思科的“管理平面保护”文档,但命令根本不起作用。例如,语法 Ethernet0/0 不起作用,x/y 语法似乎根本不起作用。我试过 Ethernet 0 0,也试过 Ethernet0/1-4 来指定范围。
这些说明不适用于这个路由器。
例如,我看到的一个建议是允许通过特定接口访问管理平面,思科的建议是:
control-plane host
management-interface GigabitEthernet 0/1 allow ssh https
但是当我运行这个时,我得到:
AtlasNet(config-cp-host)#management-interface GigabitEthernet 0/1 allow ssh https
^
% Invalid input detected at '^' marker.
AtlasNet(config-cp-host)#
如果我尝试:
control-plane host
management-interface GigabitEthernet0 allow ssh https
然后,通过 GigabitEthernet0 的 ssh 连接冻结了,我不得不重新启动路由器,这对我来说毫无意义,因为 GigabitEthernet0 应该是唯一不受该命令影响的接口...
有人知道如何禁用对管理平面的 WAN SSH 访问吗?
答案1
我认为我刚刚明白了(部分)。希望这对那些为此而烦恼的人有所帮助。
因此我配置了 vlan1:
!
interface Vlan1
description InternalNetwork
ip address 192.168.1.2 255.255.255.0
ip access-group 100 in
ip nat inside
ip virtual-reassembly in
ip tcp adjust-mss 1452
!
本质上这就是我的内部网络。然后我决定放入:
control-plane host
management-interface Vlan1 allow https ssh
!
换句话说,我将管理接口连接到 vlan1,而不是总是导致连接挂起的以太网端口,现在我可以从 LAN 端通过 ssh 连接到路由器,但无法连接 wan 端。
https 仍然转发到 wan,我真的不知道为什么所以我禁用了它,使用:
no control plane host
control-plane host
management-interface Vlan1 allow ssh
!
这是我想要的行为(或者足够接近)。