Chinaunix首页 | 论坛 | 博客
  • 博客访问: 46669
  • 博文数量: 5
  • 博客积分: 1422
  • 博客等级: 上尉
  • 技术积分: 80
  • 用 户 组: 普通用户
  • 注册时间: 2006-10-20 11:26
文章分类

全部博文(5)

文章存档

2010年(2)

2009年(3)

我的朋友
最近访客

分类:

2009-10-21 22:43:54

如何使用自反ACL限制外网访问?

为了保护内网的安全,可以只允许内网访问外网,不允许外网访问内网,这里利用cisco 路由器的自反ACL来实现。

  用户需要配置路由协议,以下配置的是RIP Version1的,也可以配置别的,如EIGRP或OSPF。

  内网访问外网的自反ACL

  R1>en

  R1#conf t

  Enter configuration commands, one per line.  End with CNTL/Z.

  R1(config)#ip access-list extended aclout  创建出去的ACL

  R1(config-ext-nacl)#permit tcp any any reflect tcp 自定该条目为自反,名字是tcp

  外网访问内网的自反ACL

  R1(config)#ip access-list extended aclin

  R1(config-ext-nacl)#evaluate tcp 生成自反列表(第一步生成自反ACL的名字是tcp,所以对应的名字也就是tcp了)

  R1(config-ext-nacl)#permit udp any any

  将自反alc应用到相应的接口上

  R1(config)#int fa0/1     外网接口

  R1(config-if)#ip access-group aclout out

  R1(config-if)#ip access-group aclin in

  之后在PC上只能ping通外网,但不能ping通内网了。

 转自 黑帽安全网---致力于信息安全

阅读(680) | 评论(0) | 转发(0) |
0

上一篇:没有了

下一篇:hillstone配置

给主人留下些什么吧!~~