Казалось бы, использование telnet в 2014 году выглядит как минимум странно. Однако, до сих пор существует ряд причин, по которым использование telnet актуально, например, нужно заходить с соседнего хоста, на котором нет ssh-клиента (к примеру, на Cisco ASR1K с управляющей картой ESP10-N), где-то работают старые telnet-скрипты(а сам протокол telnet реализован на коленке на сокетах), а безопасность осуществляется на уровне транспорта. Так или иначе, telnet на сетевом оборудовании всё ещё применяется и не редко встаёт задача закрыть telnet-сервис access-list’ом.
В случае с IOS-XR, чтобы повесить ACL на telnet-сервис(в GRT) нужно применить следующую команду:
telnet vrf default ipv4 server max-servers 10 access-list 25
После чего, зайти по телнету можно будет только хостам, определённым в acl 25. Однако, в этом случае, порт-сканеры(например, онлайн-проверка портов ping.eu) покажет вам, что порт 23 открыт. Если вы периодически сканируете свою сеть на предмет уязвимостей, то эта запись в отчёте будет каждый раз привлекать ваше внимание. Если снять дамп и посмотреть что происходит, то становится понятно почему порт считается открытым:
N Source IP Destination IP Packet info 1 192.0.2.1 203.0.113.0 36764 → telnet [SYN] Seq=0 Win=29200 Len=0 2 203.0.113.0 192.0.2.1 telnet → 36764 [SYN, ACK] Seq=0 Ack=1 Win=16384 Len=0 3 192.0.2.1 203.0.113.0 36764 → telnet [ACK] Seq=1 Ack=1 Win=229 Len=0 4 203.0.113.0 192.0.2.1 telnet → 36764 [RST, ACK] Seq=1 Ack=1 Win=16384 Len=0
(192.0.2.1 – клиент, 203.0.113.0 – IOS-XR) Continue reading