请教路由器NAT方面的问题
本帖最后由 george_young 于 2015-07-06 17:35 编辑各位,请教个NAT相关的问题:一台CISCO 2811作为路由器,对外打开了SSH访问。
f0/0 接公网 如202.101.10.97/29
f0/1 接内网 如192.168.0.0/24
允许f0/1对外访问
access-list 12 permit ip 192.168.0.0 0.0.0.255
access-list 12 deny ip any any
#
ip route 0.0.0.0 0.0.0.0 f0/0
ip nat inside source list 12 interface f0/0 overload
这个时候子网和路由器均能正常对外访问
这时候子网对外访问是通
但当在f0/0 上设定了ACL 仅允许访问公网IP的SSH端口,并将该规则绑到f0/0 的in后,发现子网无法对外访问。外网能访问2811的SSH口。
access-list 102 permit icmp any host 202.101.10.97 echo
access-list 102 permit tcp host www.xxx.yyy.zzz host 202.101.10.97 sq 22
access-list 102 permit tcp any any established
access-list 102 deny ip any any
inter f0/0
ip access-group 102 in
这个时候路由器和子网对外均无法访问
请问还要加啥规则吗?
按我个人理解ip nat inside source list 12 interface f0/0 overload 这句是允许子网访问出去。即等同iptables forward链
而我绑定在f0/0上的in 应该等同于iptables 的input链路。
这两个应该没有影响, 请各位指正。 udp,放开,否则DNS如何解析? 感谢LS的回复
目前从内网对外网访问方式为ping和ssh ,尚未使用客户机配置DNS浏览网页。 TCP的那条改下。
试试。怀疑TCP某个FLAG你没允许。 本帖最后由 lnwu 于 2015-07-10 16:10 编辑
你是要通过ssh管理Cisco 2811的话,acl规则应用到vty线路上试试,这样应该就没有问题了。
line vty 0 4
access-class 102 in
acl规则不能应用到端口fa0/0上 本帖最后由 george_young 于 2015-07-15 15:28 编辑
回复 4# ssffzz1
感谢,已经查出的问题,需要用自反ACL才能搞定。
另外,有哥们知道生产环境里面内外互通的严格规则吗?
比如
外网----f0/0--路由--f0/1--交换机-服务器
f0/1上怎么能让f0/1 流入到交换机/服务器 仅允许几个端口吗?比如仅仅80 443 8080 能流入,但交换机/服务器能任意对外访问。
回复 5# lnwu
目前的想法是用一个统一的规则阻挡外来访问。单绑定ACL到SSH-VTY上是能限制来自外部对SSH的访问。但如果路由器有其他端口也是开放的话,等于每个端口/服务都做个acl。
因此用的是:
允许a
允许b
允许b
都不允许
但上面这种写法写得太死了,我内部的包出去都回不来了。对我这种入门人士来说有难度。
页:
[1]