Zmiana portu ssh

[natomiast]

Witam,
Takie pytanie mam. W jaki sposób zmienić domyślny port dla ssh w IOS (ver. 15.3)?
Chodzi mi o zmianę portu oraz ograniczenie dostępu to VTY tylko do tego portu.
Mam teraz taką konfigurację:

Kod: Zaznacz cały

ip ssh port 2233 rotary 1
!
ip access-list extended ACL
 permit tcp any any eq 2233
 deny ip any any
!
line vty 0 4
 access-class ACL in
 login local
 rotary 1
 transport input ssh
!

Przy takiej konfiguracji przy próbie połączenia dostaje "Connection refused" na oba porty (22 i 2233).
Jak zdejmę ACL-ke z VTY to mogę się dostać do urządzenia po porcie 22 i 2233 a chciałbym tylko po 2233.
Pozdrawiam,

[lbromirs]

ACLki na VTY działają tylko z dokładnością do L3.

Zmiana portu SSH to security by obscurity. Ustual sieci z których można się logować i załóż ACLkę na to, skonfiguruj odpowiednio SSH (uwierzytelnianie kluczami a nie hasłami?).

Jeśli masz problem z dużą ilością ataków brute force nawet ze znanych podsieci, zastosuj mechanizm 'login block':

http://www.cisco.com/c/en/us/td/docs/io ... hance.html

[ms]

Gdybyś jednak bardzo chciał uruchomić SSH na innym porcie niż 22 jednocześnie wycinając ruch na tym porcie, to w miarę "elegancko" (nie filtrując ruchu na interfejsach) możesz to zrobić na poziomie control-plane.

Oczywiście pomijając to co wyżej czyli, że generalnie nie jest to pewnie najlepsze rozwiązanie.

Kod: Zaznacz cały

ip access-list extended SSH-22
 permit tcp any any eq 22
class-map match-all SSH-22
 match access-group name SSH-22
policy-map BLOCK
 class SSH-22
   drop
control-plane host
 service-policy input BLOCK

Pozdrawiam,