问题描述:
设置列表 有序列表 无序列表 我配置MSR V7 版本的3610路由器,添加了一个IPV4的高级ACL,目的是允许某个公网IP可以访问我指定的端口(该端口映射到内部服务器的某个服务端口),配置生效后,达不到理想效果,命令如下:
##acl advanced 3001
##rule 20 permit tcp source 14.130.0.0 0.0.255.255 destination 59.0.0.0 0.255.255 .255 destination-port eq 13389
## rule 25 deny tcp source 111.0.0.0 0.255.255.255 destination 59.0.0.0 0.255.255. 255 destination-port eq 13389
## rule 30 deny tcp destination 59.0.0.0 0.255.255.255 destination-port eq 13389
添加第一个规则(rule 20 ) 时,和没有添加前效果相同,所有公网地址都可以访问这个本地的59.X.X.X 的13389端口,添加第二条规则(rule 25)时,相应网段的IP被拒绝。添加第三条规则(rule 30)时,所有网段被拒绝,我的第一条规则失效。请问哪里配的不对,正确的规则应该怎么配置?我要指定五个公网IP,其它的全部拒绝。
- 2020-08-10提问
- 举报
-
(0)
最佳答案
您好,请知:
根据您给出的ACL如下:
rule 20是允许14.130.0.0 0.0.255.255的访问内网服务器。根据反掩码来看,是14.130.0.0/16的大地址段。地址段范围过大,因此在这个地址段范围内的IP地址都能访问内网服务器。所以可考虑增大IP地址的子网掩码来缩小地址的范围,如果是仅允许一个主机能访问,可以直接使用255.255.255.255的反掩码。
rule 25是拒绝111.0.0.0 0.255.255.255的访问内网服务器,从反掩码来看是111.0.0.0/8的这个大地址段。拒绝的范围是很大,但是并不能拒绝所有地址访问内服务器。如果只是仅允许14.130这个范围的地址段访问,rule 25可以拒绝所有看下。
初步怀疑是因为策略的地址段范围过大而导致没有覆盖到位。
另外服务器也是可以部署系统防火墙的出入站规则来过滤IP的访问。
最后就是nat server的部署了,需要映射正确的服务器的IP地址和端口号。
- 2020-08-10回答
- 评论(4)
- 举报
-
(0)
可以配置nat server,指定源、目的端口一一映射。
- 2020-08-10回答
- 评论(1)
- 举报
-
(0)
我就是做了nat server 之后,要限制未知的IP访问我的nat啊!!
我就是做了nat server 之后,要限制未知的IP访问我的nat啊!!
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
您好,我这边已经修改了回复,请您审批下。实在不好意思,让您久等了,请谅解,感谢支持!