加载中…
个人资料
微博
  • 博客等级:
  • 博客积分:
  • 博客访问:
  • 关注人气:
  • 获赠金笔:0支
  • 赠出金笔:0支
  • 荣誉徽章:
正文 字体大小:

利用TCP Established参数,实现ACL单向访问限制

(2012-04-07 14:40:29)
标签:

it

 分类: IT

实例1:

实例1

目标:实现R1不能telnetR3,而R3可以telnetR1

拓扑图:

http://s4/middle/5e96cbebhbd12fb231bc3&690Established参数,实现ACL单向访问限制" TITLE="利用TCP Established参数,实现ACL单向访问限制" />


 

R1/R2/R3本已可以正常互访,R1telnetR3R3也可telnetR1

现在加如下ACL并应用到R2F0/0口上,

R2(config-if)#do show access-list

Extended IP access list 100

     permit tcp host 12.1.1.1 host 23.1.1.2 established

deny ip any any

 

R2(config-if)#do show run int f0/0     

interface FastEthernet0/0

 ip address 12.1.1.2 255.255.255.252

 ip access-group 100 in

(这里,若是在F0/1则为ip access-group out,道理一样)

即可实现R1不能telnetR3,而R3可以telnetR1

也就是通过ACL established的实现单向访问(作用于TCP)。

 

实例2(这个方法貌似行不通。。。还是实例1好用)

一、组网需求

MSR两个接口分别连接2FTP服务器,要求2.2.2.1可以FTP登录到1.1.1.10,而1.1.1.10不能FTPTelnet2.2.2.1

设备清单:MSR系列路由器1

二、组网图:

http://kms.h3c.com/kms/repository/repository/24906.jpg<wbr>Established参数&" TITLE="使用TCP <wbr>Established参数&" HEIGHT="57" WIDTH="553" />

三、配置步骤:

MSR配置

#

 //使能防火墙

 firewall enable

#

//配置ACL 3000,即使用tcp established匹配TCP 3次握手中第2次握手报文

acl number 3000

 rule 0 deny tcp established

#

//连接2.2.2.1的接口,防火墙使用入方向ACL 3000,即过滤掉2.2.2.1发送的第二次握手报文,即1.1.1.10发起的TCP连接请求无法获得响应

interface GigabitEthernet0/0

 port link-mode route

 firewall packet-filter 3000 inbound

 ip address 2.2.2.2 255.255.255.0

#

//连接1.1.1.10的接口

interface GigabitEthernet0/1

 port link-mode route

 ip address 1.1.1.1 255.255.255.0

#

四、配置关键点

1) 使能防火墙;

2) ACL过滤掉TCP Established

3) 在接口上注意防火墙使用的方向,不同的方向会有不同的效果,因为过滤的是3次握手中的第2次握手。

喜欢

0

阅读 收藏 喜欢 打印举报/Report
  

新浪BLOG意见反馈留言板 欢迎批评指正

新浪简介 | About Sina | 广告服务 | 联系我们 | 招聘信息 | 网站律师 | SINA English | 产品答疑

Copyright © 1996 - 2022 SINA Corporation, All Rights Reserved

新浪公司 版权所有