MSR路由器 用户想在公网接口,(也就是该接口面对internet,是公网的IP)关闭telnet,SSH服务,但是其他接依然还可以保留SSH,telnet服务,请问这个怎么设定?
(0)
最佳答案
参考ICMP的配置
<H3C>system-view
[H3C]firewall enable //启用IPv4防火墙功能,MSR V7路由器不需要配置此命令
[H3C]acl number 3333 // MSR V7路由器对应的命令为acl advanced 3333
[H3C-acl-adv-3333]rule deny icmp destination 1.1.1.1 0 //配置ACL拒绝目的地址为MSR路由器公网接口地址(本案例以1.1.1.1为例)的ICMP报文
[H3C-acl-adv-3333]quit
[H3C]interface GigabitEthernet0/0
[H3C-GigabitEthernet0/0]firewall packet-filter 3333 inbound //在公网接口配置入方向的包过滤防火墙,MSR V7路由器对应的命令为packet-filter 3333 inbound
[H3C-GigabitEthernet0/0]quit
(0)
您好,请知:
可以配置ACL,仅允许特定IP通过,并调用到SSH和telnet即可,以下是参考命令:
acl basic 2000
rule 0 permit source 192.168.1.2 0
quit
ssh server acl 2000
telnet server acl 2000
或
user-interface vty 0 4
acl 2000 inbound
quit
(1)
想问下,1.SSH,ACL都是在user-interface vty 0 4下设定的嘛?2.在这个接口下调用不会影响正常的网络连通性(正常网络互相访问的业务)吧
您好,要看具体的版本,V7是不用的,V5才用
这个调用不会影响到业务
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
感谢回复,这个配置不是基于SSH,telnet来的吧,如过配置icmp后可能会影响到其他业务访问公网接口吧,有没有只是针对SSH,telnet服务调用的ACL,比如交换机上有telnet server acl [ mac ] acl-number,MSR路由器上有这种类似命令嘛
直接把ICMP替换成telnet 和ssh即可,比如匹配ssh的tcp 22
哥,看下下面俩个问题 1.acl advanced 3333 rule 0 deny tcp destination 1.1.1.1 0 destination-port eq 22 rule 5 deny tcp destination 1.1.1.1 0 destination-port eq telnet 是这么写嘛? 2.那这条ACL最后要不要加一条permit any any?不把其他服务阻挡了?
1、是这么写的 2、最后有一条默认的permit any,你可以写一下,写了也不会显示的
感谢哥,用户的MSR路由器是V5版本的,ACL都写了,为啥不加firewall enable就不生效啊,这个有官网链接说明这个问题吗~感谢
firewall enable这个命令是跟ACL绑定,才能生效嘛?
v5的是需要手工开启这个功能,V7是默认开启