Làm thế nào để ngăn không cho telnet vào router nhỉ.


Mình đã no password
no login

mà vẫn telnet vào được.

help me.
xin cảm ơn

hi Lan Huong,
bạn có thể dùng access control list để ngăn truy cập telnet
(tip. dùng access-class trên line vty :wink: )

Thân mến,

Cảm ơn Chip. Nhưng mình muốn disable hẳn telnet Mà không cần dùng access list.

Mong được chỉ dẫn .

Bạn NO PASSWORD: Không cần PASSWORD
NO LOGIN: Không cần LOGIN cũng vào được bằng TELNET, bạn làm hướng này sai ngược hoàn toàn.
Cách thứ nhất: PASSWORD cái gì đó.
LOGIN (yêu cầu phải LOGIN với PASSWORD trên)
Hoặc là bạn chặn dịch vụ TELNET bằng Port 23 của Access Control List như bạn chipchipzzz nói.

hi,
cần hiểu rõ lệnh login ở đây
nguyenquang đúng đấy,
lệnh login nhằm kiểm tra password khi có telnet
nếu là no login có nghĩa là telnet được nhưng không đòi gõ password
LanHuong muốn disable telnet thì không cài password cho line vty

vd:

#config t
(config)#line vty 0 4
(config-line)#no password

hoặc
#config t
(config)#access-list 1 deny any
(config)#line vty 0 4
(config-line)#access-class 1 in

hoặc
#config t
(config)#access-list 101 deny tcp any host a.b.c.d ep 23
...
(config)#interface s0
(config-if)#access-group 101 in
...
(với a.b.c.d là ip của ip interface router, ... là các interface khác của router)

Chúc vui,

Many thanks Chip.

Mình sẽ thử xem. :D

theo em thì mình không cấu hình vty thì hình như máy ngoài cũng không telnet vào được.

Mặc định nếu ko gán password cho line vty, thì sẽ không thể telnet vào router được cho nên không cần thiết phải dùng lệnh "no password".
Nếu dùng ACL thì chỉ cần dùng một standard ACL:
<config>#access-list 1 deny any
<config>#line vty 0 4
<config-line># access-class 1 in
Khỏi có ai telnet vào được router.

Hi

Mình hoàn toàn đồng ý với ý kiến của binhdq.
Chỉ cần không đặt password cho line vty thì đẩm bảo không thể telnet vào được.
Mình chắc chắn đó, mình gặp lỗi này nhiều rồi mà. :oops:

hi,

với hai từ khóa login và password, hiện giờ ta có 4 khả năng xảy ra. Các bạn hãy dự đoán xem điều gì sẽ xảy ra cho 4 trường hợp này:

1. Có login, có password:

line vty 0 4
login
password cisco

2. Có login, no password:

line vty 0 4
login
no password

3. No login, có password:

line vty 0 4
no login
password cisco

4. No login, No password:

line vty 0 4
no login
no password

Nếu bạn nào có lab hãy thử cả 4 trường hợp trên. Kết quả sẽ đầy ắp các bất ngờ.

Chúc vui,

Trường hợp 1: Telnet vào như bình thường.
Trường hợp 2: Telnet session is rejected by remote host.
Trường hợp 3: Telnet vào thằng luôn usermode mà không yêu cầu phải gõ password.
Trường hợp 4: tôi chưa thử nên chưa biết. Bạn nào thử trường hợp này xin cho biết kết quả nhé. Nhưng theo tôi nghĩ thì trường hợp này cũng cho kết quả giống trường hợp 3.

Chinh' xac'

cho telnet vô luôn, nhưng đừng đặt enable pass :D.

lee, mình đồng ý với bạn, mình nghĩ dùng lệnh
#no line vty 0 4
cũng cấm được telnet

Các bạn xem lại đi .............Có lệnh
#no line vty 0 4
nữa sao ????? :wink:

Lan Hương,

Lệnh no line vty 0 4 là không có.

Bây giờ em muốn mở rộng bài toán này thêm chút xíu nữa, mong mọi người tham gia.

Mô tả: Mỗi khi ta telnet vào router, ta chiếm 1 line trong line vty.

Ví dụ:
Người dùng telnet 1 dùng line vty 1. Phiên telnet kế tiếp chiếm line 2....

Yêu cầu: làm sao để cấu hình chỉ cho phép telnet vào hai line nào đó trong số 4 line, ví dụ line 2 và 4. Một số người dùng khác chỉ được quyền telnet vào các line còn lại, ví dụ 1 và 3.

Mong được trao đổi thêm,

chưa đọc đến phần này nên chưa làm được, có ai có chiêu gì không? hay là phải config trực tiếp lên từng VTY Line??

help!

dùng Extended ACLs để chặn lại.note điều này vì khi thi bài lab của mình nó ko hỗ trợ câu lệnh access-class trên version của software đó,nhưng lại bắt dùng ACLs để chặn lại.Trường hợp này chỉ có dùng extended ACLs mới được

it_email oi su dung extended ACLs nhu the nao vay? cho minh mot vi du di , gom nhung lenh gi vay

Như thế này có được không nhỉ? mong được chỉ giáo thêm!

ip access-list extended notelnet
deny tcp any host <router ip> eq telnet
permit tcp any any
permit udp any any

hình như còn phải config trên line gì đó nữa thì phải????

help please!

it_email oi su dung extended ACLs nhu the nao vay? cho minh mot vi du di , gom nhung lenh gi vay
Giả sử topology sau: R1--------R2
R2 có 3 interface S0,E0 và E1 với ip add lần lượt là :192.168.0.1, 10.0.0.1, 10.0.1.1
Yêu cầu chặn telnet vào R2 từ tất cả các host bên ngoài,cho phép tất cả các traffic khác.
Dùng Extended ACLs:
R2(config)#access-list 101 deny tcp any host 192.168.0.1 eq telnet
R2(config)#access-list 101 deny tcp any host 10.0.0.1 eq telnet
R2(config)#access-list 101 deny tcp any host 10.0.1.1 eq telnet
R2(config)#access-list 101 permit ip any any
R2(config)#int s0
R2(config-if)#ip access-group 101 in
R2(config-if)#int e0
R2(config-if)#ip access-group 101 in
R2(config-if)#int e1
R2(config-if)#ip access-group 101 in
hoặc cách như tuanevnit nhưng ở thuật toán của câu lệnh permit đánh thế này:
permit ip any any

nhưng cho mình hỏi thêm tí, trong ICND có nói là chặn telnet thì dùng standard ACL,và access-class còn như bạn nói software không hỗ trợ là khi đi thi đó hả? Vậy thì mình phải chặn tất cả interface sao? Wải wa nhỉ. Nhưng đó hình như là cách còn lại duy nhất phải không?
SVN,
Theo mình thì mình không thể chọn được line cho remote telnet vào được, vì theo mình default của session đầu tiên phải là line 0,do đó khi cấu hình cho line thì mình chỉ có thể cấu hình từ line 0 trở đi mà thôi, còn cho phép mấy line thì tùy mình, vậy cho mình hỏi thêm 1 vấn đề nữa: remote chiếm line có thứ tự mấy có ảnh hưởng gì khi telnet không? Hay chỉ là số thứ tự để local dễ kiểm soát. Remote có thể cấu hình để chiếm line không nhỉ? Vì nếu có 4 session nhưng cả 4 đều đã có người telnet rồi chẳng hạn!!!!

nhưng cho mình hỏi thêm tí, trong ICND có nói là chặn telnet thì dùng standard ACL,và access-class còn như bạn nói software không hỗ trợ là khi đi thi đó hả? Vậy thì mình phải chặn tất cả interface sao? Wải wa nhỉ. Nhưng đó hình như là cách còn lại duy nhất phải không?
!!!!

Hi,

Để chặn telnet vào routers, chỉ cần dùng standard access-list là đủ (như binhdq) đã đề cập.

Ví dụ: để cấm máy 14.2.9.1 telnet vào router:

Central(config)# access-list 99 deny 14.2.9.1 log
Central(config)# access-list 99 permit any log

Sau đó apply bằng access-class:

Central(config)# line vty 0 4
Central(config-line)# access-class 99 in
Central(config-line)#
Central(config-line)# login local
Central(config-line)#
Central(config-line)# exec
Central(config-line)# end
Central#

Lúc Lee thi không thể dùng cách trên trong SIM của đề thi à?

Thân,

lúc em thi thì không được sử dụng access class, nhưng ý em hỏi là có cách nào chặn telnet ngoài cách dùng access class và chặn tại các physical interface không anh? Còn về vụ line của SVN nói nữa, có ai phát biểu hộ ý kiến giúp với?

Hi,

ca_voi sắp sửa về nhà (đang làm) để ăn Tết Tây, đốt pháo, rồi, nhưng cũng muốn góp ý với lee nhé:

Nếu phải ngăn không cho ai, telnet vào router của mình, bất cứ ở nơi nào:
(mà như lee nói không được sử dụng ACL)

1- không gài password, đã có nhiều người nói rồi:
lin vty 0 4
no password

Mỗi lần ai telnet vào router của mình, nó sẽ nói:
--> Password required, but none set

2- không nhận telnet ở VTY:
lin vty 0 4
transport input none

Mỗi lần ai telnet vào router của mình, nó sẽ nói:
--> Connection refused by remote host

Còn muốn chặn tại physical interface (không dùng ACL) thì chắc chỉ có cách không gài IP-address vào đó thui...

Chúc mọi người vui vẻ,

Hi all,
Cái lệnh #no line vty04 không những không cấm truy xuất vào Telnet mà còn không dùng đến vty04 nữa, có nghĩa là bạn sẽ không bao giờ tiếp cận đến vty04 luôn đó, nếu dùng lệnh này vĩnh viễn không sử dụng đến Telnet nữa đó bạn à, nhung mình nghĩ bạn (Lan Hương) có th :lol:

trong ******** V27/28 câu 54 hỏi về access list như sau:


cấm Telnet vào router ********1 với tối đa 3 câu lệnh:
*******1
E0 192.168.149.1 S0 192.168.199.1
đáp án:
access-list 101 deny tcp any 192.168.149.1 0.0.0.0 eq 23
access-list 101 deny tcp any 192.168.199.1 0.0.0.0 eq 23
access-list 101 permit ip any any
interface e0
ip access-group 101 in
interface s0
ip access-group 101 in

đáp án dài quá, không biết có thể dùng cách sau:
access-list 50 deny any
line vty 0 4
access-class 50 in

Hi Duy

Thử tham khảo các cách làm ở link này trước: một thảo luận cực hay của các thành viên

http://vnpro.org/forum/viewtopic.php?t=2402

Theo mình thì như thế này
line vty 0 4
login
no password
Mhư vậy mọi người ở ngoài sẽ không telnet vào router được.

Các câu hỏi trong ******* đều sử dụng đáp án là ngăn telnet dựa vào access-group trên physical interface, không cấu hình access class trên line vty.
Ở fía trên có bạn gì ( hình như lad Lee ) nói khi thi không được dùng access class, vậy có thật như vậy không, các bạn khác thi rồi bảo tí kinh nghiệm đi [:D]

Nếu bạn không dùng access-class thì bạn có thể cấu hình trên line vty như sau:
login
no password

Lệnh :
login
no pasword
theo mình khi dùng sẽ chặn telnet tất cả vào router. Nhưng đề bài thường bắt chặn telnet từ những nhóm địa chỉ xác định nào đó. Nên chắc fải dùng ACLs thôi, mà không dùng acces-class thì chắc chỉ còn access-group trên physical int thôi, fải vậy không bạn? :D

Không config line vty thì bên ngoài không telnet vô được. Đơn giản vậy thôi mà.

line vty 0 4
la gi
ma tai sao lai 0 4

cac anh giai thich dum em tai sao lai line vty 04
tai sao lai la 0 4 ma ko la cai khac
thank all

Ban phải gõ lệnh sau
line vty 0 4
login
no pass

De ngăn không cho bất cứ ai Telnet vào Router thì làm như sau ::

enable
configure terminal
line vty 0 4
no pasword
login
exit

write

mình có một câu hỏi khác, trong lab Netsim khi ta telnet từ Router1 đến Router2, muốn quay trở lại Router 1 thì làm thế nào
Router1#telnet "router2"
Router2#??????------>

có 3 cách :
- gõ lệnh disconnect
- gõ lệnh quit
- nhấn đồng thời Ctrl-shift-6 x

có 3 cách:
-gõ lệnh disconnect
-gõ lệnh quit
-nhấn đồng thời Ctrl-shift-6 x

:confused: Anh chị viết như thế này thì chỉ có những người học rồi hoạc biết rồi mới hiểu được thôi. Em thì mù tịt, đọc mà chả hiểu anh chị đang nói cái gì nữa.
Please write clearlier than before!! Thanks very much!!! Vì đây là diễn đản mà phải ko mấy anh chị????:mad:

Bảo mật việc truy cập qua đường telnet

Một line VTY phải được cấu hình để cho phép những kết nối chỉ với những giao thức cần thiết. Bạn có thể được thực hiện lệnh này với lệnh transport input. Một line vty nếu chỉ muốn cho phép những phiên telnet có thể được cấu hình bằng lệnh transport input telnet. Ví dụ, một line vty cho phép cả telnet và ssh sẽ có thêm lệnh transport input telnet ssh.


Một cách khác để bảo vệ việc truy cập là dùng một ACL trên tất cả các line vty. Một ACL sẽ giới hạn truy cập đến router, chỉ cho phép từ một máy đơn. Ví dụ dưới đây mô tả cách cấu hình cho một line vty:

Example 5-7. Access List Configured on a vty Line
Router(config)#access-list 10 permit 192.168.100.0 0.0.0.255
Router(config)#line vty 1 5
Router(config-line)#access-class 10 in

Chú ý cách dùng standard ACL hay extended ACL và cách áp dụng bằng câu lệnh access-class.

em cũng xin hỏi một chút cái này liên quan đến console nhưng cũng tương tự như Telnet vậy

đây là lệnh đăng nhập router thông wua console
router#config terminal
router(config)#line con 0
router(config-line)#login
router(config-line)#password cisco
router(config-line)#exit
router(config)#exit
router#wr
router#exit

và đây là kết quả khi đang nhập không hỏi username đăng nhập

Press RETURN to get started.
Password:cisco
router>en
router#

và đây là trường hợp đòi hỏi username đăng nhập

router#config terminal
router(config)#line con 0
router(config-line)#login local
router(config-line)#password cisco
router(config-line)#exit
router(config)#exit
router#wr
router#exit

Press RETURN to get started.

Username:cisco
Password:cisco[/B]
% Login invalid

và không thể đăng nhập? không biết tại sao? xin chỉ giáo và đừng chửi nếu nói tôi mới học mà :D

cũng tương tự như Telnet vậy

- cach 1: Khong enable line vty 0 4
- cách 2: khong dat password trong che do line vty 0 4

Lan Hương,

Lệnh no line vty 0 4 là không có.

Bây giờ em muốn mở rộng bài toán này thêm chút xíu nữa, mong mọi người tham gia.

Mô tả: Mỗi khi ta telnet vào router, ta chiếm 1 line trong line vty.

Ví dụ:
Người dùng telnet 1 dùng line vty 1. Phiên telnet kế tiếp chiếm line 2....

Yêu cầu: làm sao để cấu hình chỉ cho phép telnet vào hai line nào đó trong số 4 line, ví dụ line 2 và 4. Một số người dùng khác chỉ được quyền telnet vào các line còn lại, ví dụ 1 và 3.

Mong được trao đổi thêm,

Đúng là khi telnet vào Router thì sẽ lấy ngẫu nhiên 1 trong các đường vty còn trống và tất nhiên đã cấu hình cho phép telnet. Như vậy, con số chỉ thứ tự ko quan trọng.
Nếu muốn chỉ cho phép một số ít đường vty hoạt động thì chỉ việc thay đổi khai báo "0 4" thôi. Cụ thể, bạn muốn cấu hình 2 đường thôi thì chỉ đặt pass và login cho 2 đường liên tiếp trong số 5 đường vty 0 -> 4, các đường vty còn lại thì ko cho phép là được.
Bạn hãy thử xem !

Mình nghĩ bạn không đặt lệnh enable password hoặc enable secret thì không thể nào telnet được vào Router.Còn nếu không bắt buộc bạn phải dùng Access-list.

chào bạn

router sử dụng các đường vty từ 0 -> 4 để thực hiện phiên telnet (đường vty áp dụng cho các cổng Ethernet và Serial của router), mặc định nếu không cấu hình đường vty thì bạn không thể thực hiện telnet vào router được
Tuy nhiên khi đã cấu hình đường vty thì bạn không thể dùng lệnh no password và no login để chặn không cho elnet vào router

có thể kiểm tra lại bằng cách dùng lệnh show run
nếu vẫn thấy dòng
password matkhau
login

ở dưới cấu hình của đường vty thì vẫn không chặn được telnet vào router (tức là lệnh no password matkhau và no login không có hiệu lực)

em thêm chút :

em thử lại rồi :

Router(config)#line vty 0 4
Router(config)#password telnet
Router(config)#login

telnet Ok; trên Cisco router thường nó yêu cầu phải có mật khẩu, nếu ko set mật khẩu thì login vẫn bị disabe,
bạn chỉ cần dùng lệnh no login mà không cần dùng lệnh no password matkhau, vẫn chặn được telnet vào router

Router(config)#line vty 0 4
Router(config)#no password telnet
Router(config)#no login

=> disable telnet on vty line

cách tốt nhất vẫn là dùng access-list để chặn telnet vào router (mở rộng hoặc ACLs cơ bản, hoặc có thể dùng ACLs của đường vty áp dụng trên chính router đó).

:(:(