想要尝试阻止特定 IP 地址

Question

如果我理解这里的任务，您希望允许绿色子网访问整个网络中的任何内容（包括蓝色/紫色），而蓝色/紫色子网不应该能够访问绿色，但应该能够访问互联网。

在这种情况下，在配置路由后（在开始实施访问列表之前，请确保任何内容都可以访问任何内容，否则您将花时间排除访问问题，而实际上问题将是路由性质的），在 router_b 上创建一个访问列表，如果这是“返回”流量，则仅允许从 192.168.2.0 到 192.168.3.0 的流量。考虑以下访问列表：

access-list 100 permit tcp 192.168.2.0 0.0.0.255 192.168.3.0 0.0.0.255 established
access-list 100 permit icmp 192.168.2.0 0.0.0.255 192.168.3.0 0.0.0.255 echo-reply
access-list 100 deny ip 192.168.2.0 0.0.0.255 192.168.3.0 0.0.0.255
access-list 100 permit ip any any

2.0如果 TCP 会话已建立，则允许从到的TCP 流量3.0（技术上检查 ACK/RST 标志，请参阅这里有关详细信息或文档）
如果这是 icmp-reply（而不是 icmp-echo），则允许2.0来自icmp 流量3.0
拒绝任何其他2.0流量3.0
允许任何其他流量（例如互联网流量）

请注意，对 UDP 流量执行相同操作要困难得多。

Answer 1

如果我理解这里的任务，您希望允许绿色子网访问整个网络中的任何内容（包括蓝色/紫色），而蓝色/紫色子网不应该能够访问绿色，但应该能够访问互联网。

在这种情况下，在配置路由后（在开始实施访问列表之前，请确保任何内容都可以访问任何内容，否则您将花时间排除访问问题，而实际上问题将是路由性质的），在 router_b 上创建一个访问列表，如果这是“返回”流量，则仅允许从 192.168.2.0 到 192.168.3.0 的流量。考虑以下访问列表：

access-list 100 permit tcp 192.168.2.0 0.0.0.255 192.168.3.0 0.0.0.255 established
access-list 100 permit icmp 192.168.2.0 0.0.0.255 192.168.3.0 0.0.0.255 echo-reply
access-list 100 deny ip 192.168.2.0 0.0.0.255 192.168.3.0 0.0.0.255
access-list 100 permit ip any any

2.0如果 TCP 会话已建立，则允许从到的TCP 流量3.0（技术上检查 ACK/RST 标志，请参阅这里有关详细信息或文档）
如果这是 icmp-reply（而不是 icmp-echo），则允许2.0来自icmp 流量3.0
拒绝任何其他2.0流量3.0
允许任何其他流量（例如互联网流量）

请注意，对 UDP 流量执行相同操作要困难得多。

想要尝试阻止特定 IP 地址

答案1

相关内容