Cisco 803 上具有单个例外的阻塞端口

网络工程 思科 路由器 ACL
2021-07-05 01:28:34

这似乎相当简单,尽管我在 Google 和 Cisco 文档中找不到解决方案。我想我可能只是没有在寻找正确的东西。

基本上我想阻止除我们的邮件服务器之外的所有传出 SMTP 流量,目前只有 DHCP 范围被阻止,但我想将其范围缩小到仅邮件服务器。

当前的:

access-list 107 deny   tcp 10.1.3.0 0.0.0.255 any eq smtp
access-list 107 permit ip any any

我尝试过(但完全锁定了所有网络连接并需要重新启动):

access-list 107 deny   tcp any any eq smtp
access-list 107 permit tcp host 10.1.1.20 any eq smtp

所以,我希望阻止除 10.1.1.20 之外的所有主机的 SMTP 传出,这怎么做?我错过了什么?

1个回答

试试这个:

access-list 107 permit tcp host 10.1.1.20 any eq smtp
access-list 107 deny   tcp any any eq smtp
access-list 107 permit ip any any

请记住,在 Cisco 路由器中插入标准 ACL 的顺序就是指令匹配的顺序。

所以:

  1. 首先允许您的服务器10.1.1.20连接到smtp端口
  2. 然后禁止任何其他主机连接到smtp端口
  3. 最后,允许任何其他 IP 通信
其它你可能感兴趣的问题
上一篇ICMP type 3 code 1和7,有什么区别? 下一篇如何在 Cisco 3750 上添加 ACL 条目注释?