AR系列路由器包过滤控制访问列表的配置方法

对内网地址192.168.1.0/25访问外网不作限制
对于内网地址192.168.1.128/25只允许收发邮件,不允许访问外网
#
sysname RouterA
#
firewall enable                               /使能防火墙功能/
firewall default deny                         /配置防火墙缺省操作为deny/

#

radius scheme system

#

domain system

#

acl number 2000                               /定义用于NAT转换的ACL/

rule 0 permit source 192.168.1.0 0.0.0.255

rule 1 deny

#

acl number 3001                               /定义用于包过滤的ACL/

rule 0 permit ip source 192.168.1.0 0.0.0.127

/内网地址192.168.1.0/25访问外网不作限制/

rule 1 permit tcp source 192.168.1.128 0.0.0.127 destination-port eq pop3

rule 2 permit tcp source 192.168.1.128 0.0.0.127 destination-port eq smtp

/内网地址192.168.1.128/25只能收发邮件/

#

interface Ethernet1/0/0

ip address 192.168.1.1 255.255.255.0

firewall packet-filter 3001 inbound       /对inbound流量使用包过滤/

#

interface Serial2/0/0

link-protocol ppp

ip address 202.101.1.2 255.255.255.252

nat outbound 2000

#

interface NULL0

#

ip route-static 0.0.0.0 0.0.0.0 202.101.1.1 preference 60

#

user-interface con 0

user-interface vty 0 4

#

return
通过查看disp firewall-statistics all、disp acl 3001确认防火墙确实生效

disp firewall-statistics all

Firewall is enable, default filtering method is 'deny'.

Interface: Ethernet1/0/0

In-bound Policy: acl 3001

Fragments matched normally

From 2006-05-31 5:05:50  to 2006-05-31 6:32:49

198 packets, 24129 bytes, 4% permitted,

0 packets, 0 bytes, 0% denied,

0 packets, 0 bytes, 0% permitted default,

5919 packets, 1021492 bytes, 96% denied default,

Totally 198 packets, 24129 bytes, 4% permitted,

Totally 5919 packets, 1021492 bytes, 96% denied.

disp acl 3001

Advanced ACL  3001, 3 rules

Acl's step is 1

rule 0 permit ip source 192.168.1.0 0.0.0.127 (194 times matched)

rule 1 permit tcp source 192.168.1.128 0.0.0.127 destination-port eq pop3 (9 times matched)

rule 2 permit tcp source 192.168.1.128 0.0.0.127 destination-port eq smtp (0 times matched)

【提示】

1、 系统缺省情况下为禁止防火墙(firewall disable),需要使用命令“firewall enable”来使能防火墙功能

2、 防火墙缺省过滤方式为允许通过(permit),可以通过“firewall default deny”修改为禁止通过

3、 在内网使用包过滤,并同时使用DHCP server分配地址时,需要在acl 3001中添加一条“rule 0 permit ip source 0.0.0.0 0”否则会出现DHCP Server无法分配地址的问题。

(0)

相关推荐

  • AR系列路由器包过滤控制访问列表的配置方法

    对内网地址192.168.1.0/25访问外网不作限制 对于内网地址192.168.1.128/25只允许收发邮件,不允许访问外网 # sysname RouterA # firewall enable                               /使能防火墙功能/ firewall default deny                         /配置防火墙缺省操作为deny/ # radius scheme system # domain system # acl 

  • AR系列路由器使用SSH用户验证方式为password登录路由器的典型配置

    大 | 中 | 小    SSH是Secure Shell(安全外壳)的简称,用户通过一个不能保证安全的网络环境远程登录到路由器时,SSH特性可以提供安全保障和强大的认证功能,以保护路由器不受诸如IP地址欺诈.明文密码截取等等的攻击. 使用SSH Client通过password方式登录路由器 # sysname Quidway # radius scheme system # domain system # local-user huawei             /创建本地帐号"huawe

  • AR系列路由器对网络病毒的应对办法

    路由器的功能是保持网络的连通性,尽自己最大能力转发数据包.网络病毒发送的大量垃圾报文,路由器是并不能识别的. 需要我们手工配置acl,比如最近流行的冲击波病毒,通过配置,路由器可以部分阻  止这些垃圾报文. 禁止端口号为135的tcp报文 禁止端口号为69的udp报文 禁止icmp报文 以上只是辅助措施,根本解决办法是查杀pc的病毒,尽快安装微软操作系统的补 丁,升级杀毒工具的病毒库,提高安全意识. 2.常见防病毒ACL,包含常见的病毒端口,新发现的病毒,还需要手工添加对应的端口 号,配置好以后

  • 让apache显示目录列表的配置方法

    1.apache中显示目录列表 在http.conf中加入如下代码(如有虚拟主机配置,加在虚拟主机配置段内),并把主目录内的index.pho,index.html,index.htm文件删除 复制代码 代码如下: Alias /download "/download"  <Directory "/download">    Options Indexes    Order allow,deny    IndexOptions Charset=UTF-8

  • Nginx服务器限制访问速度的配置方法

    用Nginx建站的同学,常会有限速需求.开发测试阶段在本地限速模拟公网的环境,方便调试.投入运营会有限制附件下限速度,限制每个用户的访问速度,限制每个IP的链接速度等需求. 刚遇到一个Bug在网络很卡的情况下才能重现,本地调试访问本机速度太快,配置Nginx成功达到限速目的,在此分享出来. 配置简单,只需3行,打开"nginx根目录/conf/nginx.conf"配置文件修改如下: http{ -- limit_zone one $binary_remote_addr 10m; --

  • Nginx实现异步访问mysql的配置方法

    nginx中有一个模块有这个功能,(以前的文章中扩展,这里叫模块,以后统一叫模块,模块可能准确点,因为扩展是单独的文件,而模块是嵌入到主文件中的),这个模块叫drizzle-nginx-module,下载地址为: https://github.com/openresty/drizzle-nginx-module 要编译这个还不容易,上面这个地址也有说明: 先下载drizzle库,地址:http://openresty.org/download/drizzle7-2011.07.21.tar.gz

  • 不让tomcat显示目录文件列表的配置方法

    修改conf/web.xml文件(把listings的参数改为false) 复制代码 代码如下: <servlet><servlet-name>default</servlet-name><servlet-class>org.apache.catalina.servlets.DefaultServlet</servlet-class><init-param><param-name>debug</param-name&

  • 访问列表

    访问列表能使用或者拒绝数据包在路由器之间的移动,许可或者拒绝Telnet(VTY)在路由器之间访问,和建立dial-on demand(DDR), 有意义交通,触发拨号到一个远程位置. ACCESS LIST 访问列表是十分重要条件列表,它控制访问.强大的工具控制访问在网段之间,它过滤不需要的数据包和实现安全政策,随着访问列表,网络管理人员将有更大的力量去加强几乎任何发明出来的访问政策,IP 和IPX Access Lists 工件得非常类拟,他都比较过滤的数据包,分类,一旦Access Lis

  • 路由器访问列表的应用

    随着网络的不断发展,路由器在校园网中担当起了重要的角色.然而不少单位仅仅利用了它的一个基本功能--路由,实际上路由器还可以用来设置访问控制策略.现以Cisco路由器为例,谈谈路由器访问列表的应用. 访问列表能干什么 随着网络的发展和用户要求的变化,从IOS12.0开始,Cisco路由器新增加了一种基于时间的访问列表.通过它,可以根据一天中的不同时间或者根据一星期中的不同日期(当然也可以二者结合起来)控制网络数据包的转发.这种基于时间的访问列表就是在原来的标准访问列表和扩展访问列表中加入有效的时间

  • 反向访问列表在实际中的应用

    反向访问列表 有5个VLAN,分别为 管理(63).办公(48).业务(49).财务(50).家庭(51). 要求: 管理可以访问其它,而其它不能访问管理,并且其它VLAN之间不能互相访问! 其它的应用不受影响,例如通过上连进行INTERNET的访问 方法一: 只在管理VLAN的接口上配置,其它VLAN接口不用配置. 在入方向放置reflect ip access-list extended infilter permit ip any any reflect cciepass ! 在出方向放置

随机推荐