- 论坛徽章:
- 9
|
本帖最后由 george_young 于 2015-07-06 17:35 编辑
各位,请教个NAT相关的问题:一台CISCO 2811作为路由器,对外打开了SSH访问。
f0/0 接公网 如202.101.10.97/29
f0/1 接内网 如192.168.0.0/24
允许f0/1对外访问
access-list 12 permit ip 192.168.0.0 0.0.0.255
access-list 12 deny ip any any
#
ip route 0.0.0.0 0.0.0.0 f0/0
ip nat inside source list 12 interface f0/0 overload
这个时候子网和路由器均能正常对外访问
这时候子网对外访问是通
但当在f0/0 上设定了ACL 仅允许访问公网IP的SSH端口,并将该规则绑到f0/0 的in后,发现子网无法对外访问。外网能访问2811的SSH口。
access-list 102 permit icmp any host 202.101.10.97 echo
access-list 102 permit tcp host www.xxx.yyy.zzz host 202.101.10.97 sq 22
access-list 102 permit tcp any any established
access-list 102 deny ip any any
inter f0/0
ip access-group 102 in
这个时候路由器和子网对外均无法访问
请问还要加啥规则吗?
按我个人理解 ip nat inside source list 12 interface f0/0 overload 这句是允许子网访问出去。即等同iptables forward链
而我绑定在f0/0上的in 应该等同于iptables 的input链路。
这两个应该没有影响, 请各位指正。 |
|