我正在努力掌握 2800 系列思科路由器上的 ACL。
简而言之,我的拓扑是 R1 > Sw1 > [服务器 1,服务器 2,PC 1]
R1 创建一个 PPPoE 连接,我现在正在使用它。
为了实现这个阶段,我有以下路由器配置。我删除了这里不需要的部分以减少代码片段的长度。
interface FastEthernet0/0
no ip address
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
pppoe enable group global
pppoe-client dial-pool-number 10
!
interface FastEthernet0/1
ip address 10.0.2.1 255.255.255.0
ip access-group all-out out
ip nat inside
ip virtual-reassembly
duplex auto
speed auto
no cdp enable
no mop enabled
!
interface Serial0/3/0
no ip address
shutdown
clock rate 2000000
!
interface Dialer1
ip address negotiated
ip mtu 1492
ip nat outside
ip virtual-reassembly
encapsulation ppp
ip tcp adjust-mss 1452
dialer pool 10
ppp authentication chap callin
ppp chap hostname *****
ppp chap password 0 *****
ppp ipcp dns request
ppp ipcp route default
ppp ipcp address accept
!
router rip
network 10.0.0.0
!
ip classless
!
!
ip http server
no ip http secure-server
ip nat inside source list 10 interface Dialer1 overload
ip nat inside source static tcp 10.0.2.50 443 interface Dialer1 443
ip nat inside source static tcp 10.0.2.50 80 interface Dialer1 80
ip nat inside source static tcp 10.0.2.52 3306 interface Dialer1 3306
ip nat inside source static tcp 10.0.2.41 33060 interface Dialer1 33060
ip nat inside source static tcp 10.0.2.41 8080 interface Dialer1 8080
ip nat inside source static tcp 10.0.2.53 25 interface Dialer1 25
ip nat inside source static tcp 10.0.2.53 587 interface Dialer1 587
ip nat inside source static tcp 10.0.2.53 993 interface Dialer1 993
!
access-list 10 permit 10.0.2.0 0.0.0.255
!
我不想允许所有流量进出。稍后我将设置 VLAN,并扩展我的家庭网络以包含没有入站要求的主机。
我正在使用 VM,因此 IP 地址比服务器多,我有一个面向公共的地址和此路由器后面的多个主机。
我相信 nat 设置正确,但我不能确定,我是否能够本地访问主机。
然而,我尝试了 ACL 的几种方法,但要么锁定连接,要么没有得到明显的结果。
那么,您能帮助我使用 ACL 来维护出站流量、仅允许某些入站流量并阻止任何其他入站流量吗?
答案1
在 Cisco IOS 路由器上,ACL 是一种无状态数据包过滤方法,这意味着您需要允许两个方向的流量(入站和出站)。
为了维持出站流量并仅允许某些入站流量,您需要一个像“简单防火墙”这样的状态数据包过滤功能。
例如:
conf t
!
ip inspect name firewall tcp
ip inspect name firewall udp
ip inspect name firewall icmp
!
interface FastEthernet0/1
ip inspect firewall in
no ip access-group all-out out
!
ip access-list extended ALLOW-FROM-INTERNET
permit tcp any any eq 443
permit tcp any any eq 80
permit tcp any any eq 3306
. . .
!
interface Dialer1
ip access-group ALLOW-FROM-INTERNET in
!
这样,您的 LAN 端(Fa0/1)产生的流量就可以传出到互联网,而“简单防火墙”将保留记录以允许返回流量。
如果 ACL“ALLOW-FROM-INTERNET”允许,则从 WAN 端(Dialer1)生成的流量只能到达您的公共 IP(Dialer1 IP)。
看一眼配置简单防火墙
PS:确保您不会失去对路由器的管理访问权限。确保您首先通过控制台访问进行管理并尝试操作。