这可能非常简单,但我正在执行以下代码来阻止 IP 192.168.1.50 上端口 80 的使用,但似乎不起作用。界面正确,我使用的是 Cisco Router 2820。这是我使用的代码:
(config) access-list 101 deny tcp any host 192.168.1.50 eq 80
(config) access-list 101 permit ip any any
(config-if) ip access-group 101 in
(config-if) ip access-group 101 out
有什么想法吗?
答案1
我猜测 192.168.1.50 是一个本地设备,而您想阻止它通过端口 80 访问互联网?
如果是这种情况,那么您的 ACL 有点倒退;尝试以下操作:
access-list 101 deny tcp host 192.168.1.50 gt 1023 any eq 80
而且in你唯一需要的就是这个:
ip access-group 101 in
答案2
原因是您只能将其应用 IN 或 OUT,而不能同时应用两者;)。
答案3
我可以建议两个 ACL 吗?
拒绝从任何地方进入路由器并发往 192.168.1.50 端口 80 的流量:
(config) access-list 101 deny tcp any host 192.168.1.50 eq 80
(config-if) ip access-group 101 in
允许从路由器的任何位置到任何位置的任何流量:
(config) access-list 102 permit ip any any
(config-if) ip access-group 102 out