我有一台 Cisco 881w,我曾尝试在上面设置一个非常基本的防火墙,但我不确定我是否做得正确。以下是与防火墙和访问列表有关的配置(其中一些是我设置的,一些是出厂默认设置)。我希望有经验的人能告诉我我到底设置了什么,这样我就可以以此为基础改进我的基本第一次尝试并正确设置它(我按照指南走到这一步,但还不知道我在做什么)。
!
ip inspect name DEFAULT100 ftp
ip inspect name DEFAULT100 h323
ip inspect name DEFAULT100 icmp
ip inspect name DEFAULT100 netshow
ip inspect name DEFAULT100 rcmd
ip inspect name DEFAULT100 realaudio
ip inspect name DEFAULT100 rtsp
ip inspect name DEFAULT100 esmtp
ip inspect name DEFAULT100 sqlnet
ip inspect name DEFAULT100 streamworks
ip inspect name DEFAULT100 tftp
ip inspect name DEFAULT100 tcp
ip inspect name DEFAULT100 udp
ip inspect name DEFAULT100 vdolive
ip inspect name firewall-out tcp
ip inspect name firewall-out udp
ip inspect name firewall-out ica
ip inspect name firewall-out icabrowser
ip inspect name firewall-out ftp
ip inspect name firewall-out smtp
ip cef
no ipv6 cef
!
!
access-list 1 permit 10.10.10.0 0.0.0.7
access-list 23 permit 10.10.10.0 0.0.0.7
access-list 100 deny ip host 255.255.255.255 any
access-list 100 deny ip 127.0.0.0 0.255.255.255 any
access-list 100 permit ip any any
access-list 100 deny tcp any any
access-list 100 deny udp any any
access-list 100 deny ip any any
access-list 100 deny icmp any any
access-list 101 permit udp any eq bootps any eq bootpc
access-list 101 deny ip 10.10.10.0 0.0.0.255 any
access-list 101 permit icmp any any echo-reply
access-list 101 permit icmp any any time-exceeded
access-list 101 permit icmp any any unreachable
access-list 101 deny ip 10.0.0.0 0.255.255.255 any
access-list 101 deny ip 172.16.0.0 0.15.255.255 any
access-list 101 deny ip 192.168.0.0 0.0.255.255 any
access-list 101 deny ip 127.0.0.0 0.255.255.255 any
access-list 101 deny ip host 255.255.255.255 any
access-list 101 deny ip any any
access-list 101 permit ip 192.168.0.0 0.0.0.255 any
access-list 102 permit ip 172.16.0.0 0.0.0.255 any
access-list 199 permit ip any any
!
“防火墙外”部分是我做的,访问列表的部分也是。我知道我的目标是做什么(基本防火墙保护我们免受网络外部任何事物的侵害),但我想知道我在这里到底设置了什么?此外,任何有关如何测试我认为我设置的防火墙允许哪些东西进出的信息都将不胜感激。
答案1
访问列表 1
访问列表 1 允许 10.10.10.0 0.0.0.7
这允许网络范围 10.10.10.1-6
访问列表 23
访问列表 23 允许 10.10.10.0 0.0.0.7
这与访问列表 1 相同
访问列表 100
访问列表 100 拒绝 IP 主机 255.255.255.255 任何
访问列表 100 拒绝 ip 127.0.0.0 0.255.255.255 任何
访问列表 100 允许 ip any any
这将明确阻止任何假装是全局网络掩码 255.255.255.255 或任何声称来自本地主机范围的地址的人进行访问,然后再允许任何 IP 通过。
访问列表 100 拒绝任何 TCP
访问列表 100 拒绝任何 UDP
访问列表 100 拒绝任何 IP
访问列表 100 拒绝 icmp any any
在我看来这似乎毫无意义,因为您已经允许任何 IP 通过。如果您想阻止其中任何一个,则它们需要在允许任何 IP 通过之前通过。
访问列表 101
访问列表 101 允许 udp 任何 eq bootps 任何 eq bootpc
所有 UPD 均通过 BOOTP 协议进行 DHCP
访问列表 101 拒绝 ip 10.10.10.0 0.0.0.255 任何
阻止 10.10.10.0-255 范围内的任何人
访问列表 101 允许 icmp 任何 echo-reply
访问列表 101 允许 icmp 任何任何超出时间
访问列表 101 允许 icmp 任何不可达
允许任何回应、超时或无法到达的数据包
访问列表 101 拒绝 ip 10.0.0.0 0.255.255.255 任何
访问列表 101 拒绝 ip 172.16.0.0 0.15.255.255 任何
访问列表 101 拒绝 ip 192.168.0.0 0.0.255.255 任何
访问列表 101 拒绝 ip 127.0.0.0 0.255.255.255 任何
访问列表 101 拒绝 IP 主机 255.255.255.255 任何
访问列表 101 拒绝任何 IP
由于最后一行阻止了所有人,因此大部分拒绝 IP 都是毫无意义的。
访问列表 101 允许 ip 192.168.0.0 0.0.0.255 任意
考虑到之前的拒绝,这似乎也毫无意义。您需要将其移至拒绝线上方才能有效。
访问列表 102
访问列表 102 允许 ip 172.16.0.0 0.0.0.255 任意
允许 172.16.0.0-255
访问列表 199
访问列表 199 允许 ip any any
所有任何 IP
编辑:正如这里所述:http://www.cs.odu.edu/~csi/cisco/router_configuration/access_list.html
笔记:如果在到达末尾之前未找到匹配项,则访问列表末尾会包含针对所有内容的隐式拒绝语句。此外,对于标准访问列表,如果从关联的 IP 主机地址访问列表规范中省略掩码,则假定掩码为 0.0.0.0。