请教一个Cisco 的ACL的策略问题

shimu

1.路由器cisco2800 e0/0 ip 172.31.130.220 e0/1 ip 129.9.168.110 \r\n  内网172.31.130.0/255.255.255. 外网129.9.168.0/255.255.255.0\r\n1。内网172.31.130.0/255.255.255.0访问129.9.168.0/255.255.255.0 无限制\r\n2。外网机器129.9.168.120访问内网无限制\r\n3。外网可以访问内网的172.31.130.10 ftp\r\n我现在配置了这样的策略\r\naccess-list 101 permit ip any host 129.9.168.120\r\naccess-list 101 permit tcp any  host 172.31.130.10 eq 20\r\naccess-list 101 permit tcp any  host 172.31.130.10 eq 21\r\nint e0/1\r\nip access-group 101 in\r\n策略生效后发现172.31.130.10 访问不了外网其他机器ftp是啥原因？\n\n[ 本帖最后由 shimu 于 2008-12-2 16:08 编辑 ]

hackmail

你做的ACL是错的,没有起到效果.\r\n你的外网用的是公网IP,内网是私有的IP,在外部不可能直接访问内网服务器的.

ssffzz1

1、确认没有ACL时候正常否。\r\n2、用FTP的主动模式试试。

ssffzz1

我是问你用主动模式是否正常，不是说要你以后就用主动模式。\r\n\r\n我要你的结果是分析问题用的。

ssffzz1

算了，不和你细说了。\r\n\r\n要么做NAT，开映射。\r\n\r\n要么做自反ACL

shimu

多谢各位的答复，这些方面不太熟。\r\n1.不管我写的策略正确的策略应该怎么写呢？\r\n2.我说的内网和外网只是表示两个网段（整个网络就这两个网段，这两网段都不和internet相连），不是公网和内网的区别，两网段之间互相访问，应该不需要NAT映射吧？\r\n3.大家是不是把问题复杂化了？其实就上面两个网段，上面三个要求，和公网，internet不搭边。\n\n[ 本帖最后由 shimu 于 2008-12-2 18:18 编辑 ]

qdigrp

access-list 101 permit tcp any  host 172.31.130.10 eq 20\r\naccess-list 101 permit tcp any  host 172.31.130.10 eq 21\r\n你这二句acl好像j172.31.130.10这台pc 开了ftp ,而172.31.130.10并不是你所说的外网pc的 ip address\r\n是不是应该这样写\r\naccess-list 101 permit tcp any  host 外网 eq 20\r\naccess-list 101 permit tcp any  host 外网 eq 21\r\naccess-list 101 permit ip any any\n\n[ 本帖最后由 qdigrp 于 2008-12-2 18:40 编辑 ]

ssffzz1

那你搜索 自反ACL 这个可以满足你的要求

84master

ip nat outside source static tcp 129.9.168.110 21 172.31.130.10 21 extendable\r\nip nat outside source static tcp 129.9.168.110 20 172.31.130.10 20 extendable\r\n这样是不是应该就可以了呢