分类:
2009-10-21 22:43:54
为了保护内网的安全,可以只允许内网访问外网,不允许外网访问内网,这里利用cisco 路由器的自反ACL来实现。
用户需要配置路由协议,以下配置的是RIP Version1的,也可以配置别的,如EIGRP或OSPF。
内网访问外网的自反ACL
R1>en
R1#conf t
Enter configuration commands, one per line. End with CNTL/Z.
R1(config)#ip access-list extended aclout 创建出去的ACL
R1(config-ext-nacl)#permit tcp any any reflect tcp 自定该条目为自反,名字是tcp
外网访问内网的自反ACL
R1(config)#ip access-list extended aclin
R1(config-ext-nacl)#evaluate tcp 生成自反列表(第一步生成自反ACL的名字是tcp,所以对应的名字也就是tcp了)
R1(config-ext-nacl)#permit udp any any
将自反alc应用到相应的接口上
R1(config)#int fa0/1 外网接口
R1(config-if)#ip access-group aclout out
R1(config-if)#ip access-group aclin in
之后在PC上只能ping通外网,但不能ping通内网了。
转自 黑帽安全网---致力于信息安全