Cisco 800 路由器有点问题,我需要关闭 TCP 3389 上的 INSPECT,或者如果无法对某个端口执行此操作,则关闭所有 TCP 上的 INSPECT,
我试过
router(config)# No ip inspect name DEAFAULT100 tcp
然后它似乎根本不允许任何 tcp 流量,这与我的期望完全相反,这是一个生产路由器,停机时间不是一个选项,因为它需要 2-3 分钟才能重新启动并重新连接。关于如何做到这一点有什么建议吗?
答案1
ip inspect name DEFAULT100 tcp是针对一般 TCP 流量的 IOS 防火墙上下文访问控制 (CBAC) 命令 - 您的配置中也可能有一个针对 UDP 的命令,以及其他非 NAT 和防火墙友好的协议。
当从内部向外部发起连接时,如果内部接口上有必要的 ACE,则允许该连接。但是,在外部接口上——防火墙通常配置为丢弃所有未明确允许的流量——通常在deny ip any anyACL 末尾带有。
TCP 和 UDP是防火墙友好,因此 TCP 和 UDP 的 CBAC 条目会存在,这样从内部到外部发起的连接返回的流量不会在外部接口上被丢弃,因为它没有被明确允许。CBAC 允许那些 TCP(以及 UDP 和其他定义的协议)会话的返回流量通过未在返回接口的 ACL 中明确允许。
听起来好像您正在尝试删除与 TCP/3389 上的 RDP 有关的某些访问权限,而不是删除通过防火墙发送任何基于 TCP 的流量的能力。
限制 TCP/3389 通常在接口上执行access-list。无论您是尝试限制内部用户出站,还是限制外部用户入站,都将决定您添加访问控制条目的位置。ip nat如果涉及静态 NAT 或静态 PAT,也可以删除相关条目。