请教路由器NAT方面的问题

george_young

各位，请教个NAT相关的问题：一台CISCO 2811作为路由器，对外打开了SSH访问。
f0/0 接公网 如202.101.10.97/29
f0/1 接内网 如192.168.0.0/24

允许f0/1对外访问

access-list 12 permit ip 192.168.0.0 0.0.0.255
access-list 12 deny ip any any
#
ip route 0.0.0.0 0.0.0.0 f0/0
ip nat inside source list 12 interface f0/0 overload


这个时候子网和路由器均能正常对外访问


这时候子网对外访问是通
但当在f0/0 上设定了ACL 仅允许访问公网IP的SSH端口，并将该规则绑到f0/0 的in后，发现子网无法对外访问。外网能访问2811的SSH口。
access-list 102 permit icmp any host 202.101.10.97 echo
access-list 102 permit tcp host www.xxx.yyy.zzz host 202.101.10.97 sq 22
access-list 102 permit tcp any any established
access-list 102 deny ip any any


inter f0/0
ip access-group 102 in

这个时候路由器和子网对外均无法访问


请问还要加啥规则吗?

按我个人理解  ip nat inside source list 12 interface f0/0 overload   这句是允许子网访问出去。即等同iptables forward链
而我绑定在f0/0上的in 应该等同于iptables 的input链路。
这两个应该没有影响， 请各位指正。

ssffzz1

udp,放开，否则DNS如何解析？

george_young

感谢LS的回复
目前从内网对外网访问方式为ping  和ssh ，尚未使用客户机配置DNS浏览网页。

ssffzz1

TCP的那条改下。

试试。怀疑TCP某个FLAG你没允许。

lnwu

你是要通过ssh管理Cisco 2811的话，acl规则应用到vty线路上试试，这样应该就没有问题了。
line vty 0 4
access-class 102 in

acl规则不能应用到端口fa0/0上

george_young

回复 4# ssffzz1


    感谢，已经查出的问题，需要用自反ACL才能搞定。

另外，有哥们知道生产环境里面内外互通的严格规则吗？

比如
外网----f0/0--路由--f0/1--交换机-服务器

f0/1上怎么能让f0/1 流入到交换机/服务器 仅允许几个端口吗？比如仅仅80 443 8080 能流入，但交换机/服务器能任意对外访问。

george_young

回复 5# lnwu


   
目前的想法是用一个统一的规则阻挡外来访问。单绑定ACL到SSH-VTY上是能限制来自外部对SSH的访问。但如果路由器有其他端口也是开放的话，等于每个端口/服务都做个acl。

因此用的是:

允许a
允许b
允许b
都不允许

但上面这种写法写得太死了，我内部的包出去都回不来了。对我这种入门人士来说有难度。