CISCO4507想做最干净的控制访问列表，但不知道如何正确写，望高手指点下

cubzsd

原帖由 灭神 于 2008-8-26 14:16 发表
在核心路由器4507的外网口做ACL ，启用标准列表和扩展访问控制列表对 进来 的数据包和协议进行过滤

晕，你那笑脸是什么啊，过滤？65536个端口一个个封嘛？

我想写只开放的模式，不想写全开放，再关的模式

有种方法开1-1024端口，封1025-65535应该可以，但这不是我想要的

ssffzz1

但是必须放的端口还有哪些我不知道，明白吗，只开这些网是不通的80也不能访问，

你都不知道要开那些端口了。别人怎么可能知道，这个是要你来定的。

上面的这些端口开了的话，80就可以访问了。你的不能访问，我怀疑是别的地方的问题，帖你的全部配置看看。

cubzsd

原帖由 ssffzz1 于 2008-8-26 14:52 发表
但是必须放的端口还有哪些我不知道，明白吗，只开这些网是不通的80也不能访问，

你都不知道要开那些端口了。别人怎么可能知道，这个是要你来定的。

上面的这些端口开了的话，80就可以访问了。你的不能访问 ...

我不写控制访问列表所有的网络都是正常使用的，但是如果加上我图中的ACCESS-LIST 100的策略到交换机端口上那么啥也用不了80，53都用不了NO掉就OK

ssffzz1

你用的是那个方向。

cubzsd

原帖由 ssffzz1 于 2008-8-26 15:01 发表
你用的是那个方向。

IN，郁闷啊，如果用OUT，那么只是可以PING通网关（就是只能PING通4507），80和53还是不行，4507外接了个ASA5510，但那个应该是透明的，实在不行我就在5510上做了。主要不想动那设备了

[ 本帖最后由 cubzsd 于 2008-8-26 15:11 编辑 ]

ssffzz1

奇怪了。
你在out方向用一个permit ip any any的列表试试。

cubzsd

原帖由 ssffzz1 于 2008-8-26 15:24 发表
奇怪了。
你在out方向用一个permit ip any any的列表试试。

正常的，可以使用，你QQ多少啊，要不你远程看吧，实在不行我就搞ASA 5510，主要不想想问题屈服

[ 本帖最后由 cubzsd 于 2008-8-26 15:35 编辑 ]

cubzsd

还是IPTABLES好用

cubzsd

哈哈问题解决拉，高手指点的，因为我的4507不是设置的三层口，所以策略不能直接应用到INTERFACE上，只能应用到VLAN上