再问访问控制问题？

xjwlmqwxd

1问。我做了一个ACL如下（ACL=100）：
deny tcp eq any any 135
deny tcp eq any any 4444
permit ip any any

int f0/0
ip access-group 100 in
ip access-group 100 out
但用sh ip cache flow查看流量信息人能看到10。232。2。48利用135端口向我发攻击包？为何？
2问。用什么命令可以知道ACL已应用到了接口上（比如Serial 0/0口）？
3问。可不可以对一个接口应用多个ACL？如果可以有多个ACL，可不可以将标准ACL和扩展ACL及命名ACL混用？

ddcrystal

格式对吗？应是：deny tcp any any equ 135吧。在该语句后面加establishde试一下。一个借口只能有一个acl。

redwolf

首先列表不是CISCO设备形式的列表，还有一个端口在进出方向各只有一个。。

firebird

你应该用show access-list看看，你做的ACL被击中多少次了。长时间没击中的ACL，最好去掉，因为ACL越多，网速肯定受影响，而且在自上而下的ACL条目比较时，必定会消耗系统资源。
还有，你为什么要在一个口上做很多ACL呢，难道不可以把ACL都集中在一个里面吗？

xjwlmqwxd

哎,不好意思,第一个问题的的语句确实是我一急写错了.

xjwlmqwxd

另外:第一条被击中N多次
但用sh ip cache flow查看流量信息仍能看到10。232。2。48利用135端口向我发攻击包？为何？
有没有命令能够看到那个端口能应用了该ACL?

xjwlmqwxd

不明白啊,为何我的ACL已起作用了,(能够看到被击中),但用sh ip cache flow,仍能看到10.232.2.48通过135端口向我发攻击包!我都禁掉此端口了啊!

firebird

应该是正常的,因为ip route-cache flow的工作原理是抓取本次流量的第一个包,进行分析,ACL对比,所以应该是有显示的.
具体概念我也不清楚,你看看ip route-cache flow机制的工作原理吧.

gyog

udp 135的禁止看看
sh Ip int
在那个接口上有acl和那个方向

carberos

你策略应用的也不对啊，同一个策略在同一个断口上不允许同时进与出的。