ar系列路由器包过滤控制访问列表配置
【需要】
1.内网地址192.168.1.0/25访问外网没有限制
2、对于内网地址192.168.1.128/25,只允许收发邮件,不允许访问外网
【配置脚本】
配置脚本
#
系统名称routera
#
firewall enable /启用防火墙功能/
firewall default deny /配置防火墙的默认动作为拒绝/
#
半径方案系统
#
域系统
#
acl number 2000 /定义nat转换的acl/
规则0 允许源192.168.1.0 0.0.0.255
规则1 拒绝
#
acl number 3001 /定义包过滤的acl/
规则0 允许ip 源192.168.1.0 0.0.0.127
/内网地址192.168.1.0/25访问外网不受限制/
规则1 允许tcp 源192.168.1.128 0.0.0.127 目标端口eq pop3
规则2 允许tcp 源192.168.1.128 0.0.0.127 目标端口eq smtp
/内网地址192.168.1.128/25只能收发邮件/
#
接口ethernet1/0/0
ip 地址192.168.1.1 255.255.255.0
firewall packet-filter 3001 inbound/对入站流量使用数据包过滤/
#
接口serial2/0/0
链接协议ppp
ip 地址202.101.1.2 255.255.255.252
自然出站2000
#
接口null0
#
ip 路由静态0.0.0.0 0.0.0.0 202.101.1.1 首选项60
#
用户界面con 0
用户界面vty 0 4
#
返回
【核实】
检查disp firewall-statistics all和disp acl 3001确认防火墙确实生效
disp firewall-statistics all
防火墙已启用,默认过滤方法为拒绝。
接口:ethernet1/0/0
入境政策: acl 3001
片段正常匹配
从2006-05-31 5:05:50 到2006-05-31 6:32:49
198 个数据包,24129 字节,允许4%,
0 个数据包,0 个字节,0% 拒绝,
0 个数据包,0 个字节,0% 允许的默认值,
5919 个数据包,1021492 字节,96% 默认拒绝,
总共198个数据包,24129字节,允许4%,
总共5919 个数据包,1021492 字节,96% 被拒绝。
显示acl 3001
高级acl 3001,3条规则
acls步长为1
rule 0 permit ip source 192.168.1.0 0.0.0.127 (匹配194次)
rule 1 permit tcp source 192.168.1.128 0.0.0.127 destination-port eq pop3 (匹配9次)
规则2 允许tcp 源192.168.1.128 0.0.0.127 目标端口eq smtp(0 次匹配)
【暗示】
1、系统默认关闭防火墙(firewall disable),需要使用命令“firewall enable”开启防火墙功能
2、防火墙默认的过滤方式是permit(允许),可以修改为禁止通过“firewall default deny”
3、在内网使用包过滤同时使用dhcp服务器分配地址时,需要在acl 3001中添加一条“rule 0 permit ip source 0.0.0.0 0”,否则会出现dhcp服务器无法分配地址的问题将发生分配地址。
好了,如何开启路由器m a c过滤功能(路由器的包过滤功能)的介绍到这里就结束了,想知道更多相关资料可以收藏我们的网站。