acl 放到tcp端口
- 0关注
- 0收藏,1109浏览
问题描述:
vlan10 192.168.1.0/24 主机 192.168.1.10
vlan20 192.168.2.0/24 主机192.168.2.10
acl number 3001
rule 5 permit tcp destination 192.168.2.20 (放行本IP)
int valn 10
packet-filter 3001 inbound
如上 用192.168.2.10 远程访问(mstsc) 192.168.1.10 可以正常访问(端口3389也是开放的)
可以访问
把rule 修改成 rule 5 permit tcp destination -port eq 3389(放行整个3389端口)
或者
修改成rule 5 permit tcp destination 192.168.2.0 0.0.0.255 destination -port eq 3389(放行本vlan的3389)
都不能用 3389端口关闭 这是什么原因
组网及组网描述:
- 2023-01-13提问
- 举报
-
(0)
最佳答案
因为远程桌面的服务端端口是固定的,但客户端端口是随机的。
也就是说你用192.168.2.10(客户端)访问192.168.1.10(服务端)的时候,源端口是随机的,目的端口固定为tcp 3389。
所以192.168.1.10(服务端)给你返回数据时,源端口一定是tcp 3389,但目的端口就是你之前发起通信的那个随机端口。
- 2023-01-13回答
- 评论(4)
- 举报
-
(0)
那我远程访问服务端192.168.1.10的时候,如何放行端口,公司网络安全不准放行整个IP
换个方向。acl只允许访问192.168.1.10的tcp 3389端口,然后调用在int vlan 10的out方向(或者调用在int vlan 20的in方向)。
我超狂兰
vlan10和vlan20如果网关在同一台交换机上,那么inbound和outbound就不是你想的那样了,因为三层交换机是一次路由,N次交换,交换就只到二层,没用到包过滤了,你需要把packet-filter改到vlan20下,在入口处就判断。
acl number 3001
rule 5 permit tcp destination 192.168.1.0 0.0.0.255 destination -port eq 3389
int valn 20
packet-filter 3001 inbound
- 2023-01-13回答
- 评论(0)
- 举报
-
(0)
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
我超狂兰