分类: 系统运维
2012-03-19 11:23:12
PIX 515E-R上网(ACL封端口(已测试))
■ ACL命令介绍
PIX通常使用访问控制列表(ACL)来限制内网用户上网,而ACL则是根据协议类型及端口号来实施包过滤的。
基本命令格式:
(1)access-list命令
access-list access-list-name [deny|permit] protocol source
source-netmask destination destination-netmask [
说明:
1、 此命令应用于全局模式下
2、 protocol ip协议的名字或代号。可以用icmp,ip,tcp,udp或者0到255之间的一个整数来表示一个IP协议号。若想匹配任何一种协议,包括ICMP,TCP,UDP,可以使用关键字ip。
3、 [
4、 通常在PIX访问控制列表应用中,如果使用permit建立一个ACL,则在最后一句加入deny ,也就是丢弃所有不符合条件的数据包;如果使用deny建立一个ACL,则在最后一句加入permit any any。
5、 其中0.0.0.0可以用0替代,0.0.0.0 0.0.0.0可以用any替代
(2)access-group命令
[no] access-group access-list-name in interface [inside|outside|…]
此命令接合access-list命令一起使用,将指定的访问控制列表应用到指定的接口上。
■ 创建ACL的思想
很多软件不用固定端口进行通信,比如BT就是,它的通信端口是一个范围,而不是一个固定值。因此建议不要使用“堵”的方法,谁需要才开谁。
如果只收发E-MAIL、看网页,就只permit tcp的25(SMTP)/80(HTTP)/110(POP3)和udp的53(DNS)就可以了,其它一律deny。
■ 应用ACL实施包过滤
1.允许指定用户上网不受限制的ACL
access-list goout permit ip 192.1.3.5 255.255.255.255 any
access-list goout permit ip 192.1.3.8 255.255.255.255 any
……
access-list goout permit ip 192.1.3.236 255.255.255.255 any
access-list goout deny any any
access-group goout in interface inside
2.允许ICMP包通过的ACL
access-list ping permit icmp any any echo-reply
access-group ping in interface outside
3.只允许收发邮件的ACL
……
access-list goout permit tcp 192.1.3.x 255.255.255.255 any eq 110 //POP3
access-list goout permit tcp 192.1.3.x 255.255.255.255 any eq 25 //SMTP
access-list goout permit udp 192.1.3.x 255.255.255.255 any eq 53 //DNS
……
access-list goout deny ip any any
access-group goout in interface inside
4.只允许浏览网页的ACL
access-list goout permit tcp 192.1.3.x 255.255.255.255 any eq 80 //HTTP
access-list goout permit udp 192.1.3.x 255.255.255.255 any eq 53 //DNS
……
access-list goout deny ip any any
access-group goout in interface inside