Cisco IOS ACL:不要仅仅因为传入连接来自端口 80 而允许它们

Cisco IOS ACL:不要仅仅因为传入连接来自端口 80 而允许它们

我很大程度上是基于我的记忆,但可能并不全部正确。

在使用 BVI 或桥接路由的 Cisco 851 (IOS) 上(内部的服务器配置了静态和公共 IP 地址)。我会deny ip any any log在 FastEthernet4(WAN 端口)上应用两个访问列表(均以 结尾)。FA4 会有一个另一款适用于 FA4出去.FA4
出去会有这样的一行

access-list 110 permit 98.76.54.0 0.0.0.255 gt 1023 any eq http

我认为这意味着从 98.76.54.* 开始,其起始端口至少为 1024,可以连接到任何其他具有目标端口 80 的机器。

因此,我必须允许对 HTTP 连接的响应
。FA4会有这样的一行

access-list 120 permit any eq http 98.76.54.0 0.0.0.255 gt 1023

现在的问题是,外部的任何人都可以将其端口设置为端口 80,然后连接到任何至少为 1024 的内部端口。

我们如何防止这种情况并要求输入的数据作为对输出数据的响应。

答案1

您将需要允许任何已建立的连接,因此如下所示:

access-list 120 permit tcp any 98.76.54.0 0.0.0.255 established

https://supportforums.cisco.com/docs/DOC-1870;jsessionid=CDF341D626FB4FBBF03859E5610B0344.node0

相关内容