h3c icg 3000 封闭端口 6633 23 119命令
- 0关注
- 0收藏,44浏览
关键配置命令
1. 进入系统视图
2. 创建扩展ACL(3000-3999)
扩展ACL支持端口匹配,用于拒绝特定端口流量:
[H3C] acl 3000 // 假设使用3000号扩展ACL,可自定义编号
[H3C-acl-adv-3000] rule deny tcp destination-port eq 6633 // 拒绝TCP 6633
[H3C-acl-adv-3000] rule deny tcp destination-port eq 23 // 拒绝TCP 23(Telnet)
[H3C-acl-adv-3000] rule deny udp destination-port eq 1194 // 拒绝UDP 1194(如OpenVPN)
[H3C-acl-adv-3000] rule deny tcp destination-port eq 1194 // 若1194为TCP端口,需补充
[H3C-acl-adv-3000] rule deny udp destination-port eq 6633 // 若6633为UDP端口,需补充
3. 应用ACL到接口
根据流量方向(入站/出站)选择接口,例如封堵外部访问内部的入站流量:
[H3C] interface GigabitEthernet0/0/1 // 假设为内部接口
[H3C-GigabitEthernet0/0/1] traffic-filter inbound acl 3000 // 入站方向应用ACL
说明
ACL方向:inbound(入站)或outbound(出站)需根据需求选择(如拒绝外部访问内部用inbound,拒绝内部访问外部用outbound)。
端口类型:若1194为UDP(如OpenVPN),需单独配置udp规则;若为TCP,仅需tcp规则。
网段过滤:若需限制特定网段,可在规则中添加source或destination网段,例如:
rule deny tcp source 192.168.1.0 0.0.0.255 destination-port eq 6633。
**
暂无评论
一、创建高级 ACL(3000 举例)
bash
运行
system-view
# 新建高级ACL 3000
acl number 3000
# 封禁 TCP 23(Telnet)
rule deny tcp destination-port eq 23
# 封禁 UDP 23(少见,一并封)
rule deny udp destination-port eq 23
# 封禁 TCP 6633
rule deny tcp destination-port eq 6633
# 封禁 UDP 6633
rule deny udp destination-port eq 6633
# 封禁 TCP 1194(OpenVPN常用)
rule deny tcp destination-port eq 1194
# 封禁 UDP 1194
rule deny udp destination-port eq 1194
# 放行所有其他流量(必须加,否则全断)
rule permit ip
quit
二、把 ACL 应用到接口(关键)
ICG 一般:
外网口:GigabitEthernet 1/0/1
内网口:GigabitEthernet 1/0/2
1)外网口(inbound + outbound 都封)
bash
运行
interface GigabitEthernet 1/0/1
packet-filter 3000 inbound
packet-filter 3000 outbound
quit
2)内网口(如需内网也禁止,就挂;一般只挂外网)
bash
运行
interface GigabitEthernet 1/0/2
packet-filter 3000 inbound
packet-filter 3000 outbound
quit
三、如果只想封 “设备自身” 的 Telnet(23)
bash
运行
# 禁止设备被Telnet
user-interface vty 0 15
undo authentication-mode
protocol inbound none
quit
四、验证命令
bash
运行
display acl 3000
display packet-filter interface GigabitEthernet 1/0/1
暂无评论
shutdown,而是推荐使用高级 ACL(访问控制列表)来进行精准的流量拦截。第一步:创建高级 ACL 并添加拦截规则
<H3C> system-view
[H3C] acl number 3000
# 封禁 6633 端口
[H3C-acl-adv-3000] rule 5 deny tcp destination-port eq 6633
[H3C-acl-adv-3000] rule 10 deny udp destination-port eq 6633
# 封禁 23 (Telnet) 端口
[H3C-acl-adv-3000] rule 15 deny tcp destination-port eq 23
[H3C-acl-adv-3000] rule 20 deny udp destination-port eq 23
# 封禁 1194 (OpenVPN) 端口
[H3C-acl-adv-3000] rule 25 deny tcp destination-port eq 1194
[H3C-acl-adv-3000] rule 30 deny udp destination-port eq 1194
# (可选)放行其他所有流量
[H3C-acl-adv-3000] rule 100 permit ip
[H3C-acl-adv-3000] quit第二步:将 ACL 应用到目标接口
# 假设要应用的接口为 GigabitEthernet 1/0/1
[H3C] interface GigabitEthernet 1/0/1
[H3C-GigabitEthernet1/0/1] packet-filter 3000 inbound
[H3C-GigabitEthernet1/0/1] quitinterface range 命令将策略一次性下发到多个端口)暂无评论
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论