我很大程度上是基于我的记忆,但可能并不全部正确。
在使用 BVI 或桥接路由的 Cisco 851 (IOS) 上(内部的服务器配置了静态和公共 IP 地址)。我会deny ip any any log在 FastEthernet4(WAN 端口)上应用两个访问列表(均以 结尾)。FA4 会有一个在另一款适用于 FA4出去.FA4
出去会有这样的一行
access-list 110 permit 98.76.54.0 0.0.0.255 gt 1023 any eq http
我认为这意味着从 98.76.54.* 开始,其起始端口至少为 1024,可以连接到任何其他具有目标端口 80 的机器。
因此,我必须允许对 HTTP 连接的响应
。FA4在会有这样的一行
access-list 120 permit any eq http 98.76.54.0 0.0.0.255 gt 1023
现在的问题是,外部的任何人都可以将其端口设置为端口 80,然后连接到任何至少为 1024 的内部端口。
我们如何防止这种情况并要求输入的数据作为对输出数据的响应。
答案1
您将需要允许任何已建立的连接,因此如下所示:
access-list 120 permit tcp any 98.76.54.0 0.0.0.255 established
https://supportforums.cisco.com/docs/DOC-1870;jsessionid=CDF341D626FB4FBBF03859E5610B0344.node0