我的路由器上有这样的访问列表:
access-list 101 permit ip 10.1.130.0 0.0.0.255 host 10.1.1.25
access-list 101 deny ip any any log
接口ip地址是这样的:
interface FastEthernet0/0
ip address 10.1.130.254 255.255.255.0
ip access-group 101 in
据我了解,只有host 10.1.1.25能够从外部 ping 我的所有网络。
但是,在其他外部路由器(分支)上,所有具有完全访问权限的 IP 都可以 ping10.1.130.254
为什么尽管在 ACL 末尾,具有完全访问权限的 IP 可以 ping 我路由器的接口 IP 地址deny ip any any?
PS:所有路由器都是cisco。他们只能ping接口IP地址,但不能ping整个网络。
您的 ACL 方向是 IN,这将过滤来自您的局域网的流量。
这将允许来自您的局域网 10.1.130.0 255.255.255.0 的流量访问 10.1.1.25
正如罗恩所说,你的方向是错误的,它需要是
ip access-group 101 out
但是,如果是这种情况,您还需要更改您的来源和目的地
access-list 101 permit ip host 10.1.1.25 10.1.130.0 0.0.0.255
在考虑 ACL 方向时,始终考虑站在路由器中间,并且您正在寻找 OUT 接口或流量正在寻找 IN
不要把你的流量想象成 OUT Wan 和 in Lan
您的 ACL 是向后的。交换源地址和目标地址(和掩码)。
路由器正在处理 ping 请求并回复所有设备,因为inACL 不适用于源自路由器的流量。
罗恩的回答也是一个最佳实践,但不会解决这个问题。您希望丢弃最接近源的所有将被拒绝的流量,而不是在源到达受保护的设备之后,并且您只丢弃回复数据包。
扩展访问列表语法如下所述。
Access-list <number 100-199> <permit | deny> <protocol> <source> < sourcemask>
<operator source port> < destination> <destination-mask> < operator destination port> <options> < log>
因此,根据您的访问列表,源和目标接口不准确,需要交换它们才能正常工作