【疑問】Cisco IOS ACL Rule

dc03263
個人積分：3分
文章編號：14484420

3分

樓主

2009-09-03 21:09

請教如何在1841 router上下access list設定
擋掉從WAN(any)進來LAN(192.168.1.0/24)的網路芳鄰(135.137.138.139.445)、遠端桌面連線(33??)連線
另外應該把此規則貼在WAN還是LAN的in或是out介面上?

或是全部deny掉，僅開放80 port連內部...
目前下了設定，但相對的內網上internet傳回來的封包也全部被擋掉了...

感謝！

2009-09-03 21:09 發佈

文章關鍵字疑問 Cisco IOS ACL Rule

Fred_Wei

Fred_Wei
個人積分：0分
文章編號：14487782

0分

2樓

2009-09-03 23:38

你是否只有下

access-list 100 deny tcp any any eq 3389
access-list 100 deny tcp any any range 135 139
access-list 100 deny tcp any any eq 445

就結束了嗎? 如果你指下這樣。那表示你可能要在翻一下書了

ACL有一條隱藏指令
access-list deny any any
當然完全不通

然而ACL沒有第四層的概念，所以你擋了這些port
ex:(any->3389) 那你本身也無法出去任何地方的3389 port

通常一般的下法會先把要阻擋的IP放在前面，然後再開放你允許的IP or permit any any

dc03263

dc03263
個人積分：3分
文章編號：14604353

3分

樓主

2009-09-09 22:47

謝謝您的回覆

#deny掉所有3389,135~139,445
access-list 100 deny tcp any any eq 3389
access-list 100 deny tcp any any range 135 139
access-list 100 deny tcp any any eq 445
#允許WAN的220.133.1.1使用LAN的網芳
access-list 100 permit tcp 220.133.1.1 0.0.0.255 any range 135 139
access-list 100 permit tcp 220.133.1.1 0.0.0.255 any eq 445
#允許LAN使用網芳
access-list 100 permit tcp 192.168.1.0 0.0.0.255 any range 135 139
access-list 100 permit tcp 192.168.1.0 0.0.0.255 any eq 445
#允許其他
access-list 100 permit any any

請問這樣設定是否正確了？然後貼在LAN interface的IN上
謝謝！

nikediou

nikediou
個人積分：0分
文章編號：14611275

0分

4樓

2009-09-10 10:23

Router(config)#access-list 110 deny tcp any 192.168.1.0 0.0.0.255 eq 135
Router(config)#access-list 110 deny udp any 192.168.1.0 0.0.0.255 eq 135
Router(config)#access-list 110 deny tcp any 192.168.1.0 0.0.0.255 eq 137
Router(config)#access-list 110 deny udp any 192.168.1.0 0.0.0.255 eq 137
Router(config)#access-list 110 deny udp any 192.168.1.0 0.0.0.255 eq 138
Router(config)#access-list 110 deny tcp any 192.168.1.0 0.0.0.255 eq 139
Router(config)#access-list 110 deny tcp any 192.168.1.0 0.0.0.255 eq 445
Router(config)#access-list 110 deny udp any 192.168.1.0 0.0.0.255 eq 445
Router(config)#access-list 110 deny tcp any 192.168.1.0 0.0.0.255 eq 3389
Router(config)#access-list 110 permit ip any any
Router(config)#interface (對內網介面)
Router(config-if)#ip access-group 110 in

若有錯請懂設定的網友鞭大力一點，感謝指正。

三貓之僕

三貓之僕
個人積分：434分
文章編號：14612285

434分

5樓

2009-09-10 11:06

nikediou wrote:
Router(config)#access-list 110 deny tcp any 192.168.1.0 0.0.0.255 eq 137
Router(config)#access-list 110 deny tcp any 192.168.1.0 0.0.0.255 eq 138
Router(config)#access-list 110 deny tcp any 192.168.1.0 0.0.0.255 eq 139
Router(config)#access-list 110 deny tcp any 192.168.1.0 0.0.0.255 eq 445
Router(config)#access-list 110 deny tcp any 192.168.1.0 0.0.0.255 eq 135
Router(config)#access-list 110 deny tcp any 192.168.1.0 0.0.0.255 eq 3389
Router(config)#access-list 110 permit any any

大大
防火牆通常是拒絕全部，開放特定
當然沒有強制啦

acl至少要有一條permit才能成立
可是你在deny某些port之後
又來了一條permit any any
好像不太對吧？

啊acl寫完，記得掛在介面上，不然沒用的

另外137~139通常是跑udp的, tcp比較少

Fred_Wei

Fred_Wei
個人積分：0分
文章編號：14614489

0分

6樓

2009-09-10 12:42

您不能把這幾條在最上面
#deny掉所有3389,135~139,445
access-list 100 deny tcp any any eq 3389
access-list 100 deny tcp any any range 135 139
access-list 100 deny tcp any any eq 445

因為ACL是有順序性的，ACL上面的rule先讀到deny tcp any any eq 3389
那你下面再開某個host也可以到3389 這樣是不行的喔 (這邊有點類似防火牆的順序)

至於我說通常一般的下法會先把要阻擋的IP放在前面 (抱歉可能讓你誤會意思了)
因該是說你已經知道以知的IP網段是必須要阻擋
那你可以下
#不允許某些IP存取
access-list 100 deny ip 200.200.200.0 0.0.0.255 any
#允許WAN的220.133.1.1使用LAN的網芳
access-list 100 permit tcp 220.133.1.1 0.0.0.255 any range 135 139
access-list 100 permit tcp 220.133.1.1 0.0.0.255 any eq 445
#允許LAN使用網芳
access-list 100 permit tcp 192.168.1.0 0.0.0.255 any range 135 139
access-list 100 permit tcp 192.168.1.0 0.0.0.255 any eq 445

至於有大大說
permit any any放在最後不太好

其實小弟我個人認為不一定拉，因為這要看整體的網路架構是需要如何去做設定
畢竟樓主您並沒有說明整體的網路架構，且需求沒有很明白。
基本上ACL的規則不太可能這麼少，小弟公司的L3 Switch ACL都是上百條的
建議樓主可以把詳細需求給說出來，這邊會有很多大大能幫你處理。