Cisco IOS 出站过滤

网络工程 思科 防火墙 思科-ios
2021-07-20 02:58:15

我希望有人可以帮助配置 Cisco 881,它为 vlan 执行 NAT,并且有一些端口从 WAN 接口转发到 vlan 上的主机。

我使用以下规则创建了一个名为“出站过滤器”的扩展访问列表:

ip access-list extended outbound-filter
permit icmp any any
permit tcp any any eq 20
permit tcp any any eq 21
permit tcp any any eq 22
permit tcp host 172.16.1.12 any eq smtp
permit tcp any any eq 43
permit tcp any any eq 53
permit udp any any eq 53
permit tcp any any eq 80
permit tcp any any eq 110
permit tcp any any eq 143
permit tcp any any eq 443
permit tcp any any eq 993
permit tcp any any eq 995
permit tcp any any eq 3389
permit tcp any any eq 5060
permit udp any any eq 5060
permit tcp any any eq 5242
permit udp any any eq 5243
permit tcp any any eq 4244
permit tcp any any eq 7071
permit udp any any eq 9785

这就是我们希望允许访问 Internet 的全部内容。

从网上,我们有以下ip nat 规则:

ip nat inside source list 1 interface FastEthernet4 overload
ip nat inside source static tcp 172.16.1.12 25 59.100.202.46 25 extendable
ip nat inside source static tcp 172.16.1.12 443 59.100.202.46 443 extendable
ip nat inside source static tcp 172.16.1.16 3389 59.100.202.46 3389 extendable
!
access-list 1 permit 172.16.0.0 0.0.255.255

如果我将它应用到 int vlan1,过滤器工作正常,如下所示:

ip access-group outbound-filter in

但是一旦应用,端口转发就不再工作,除非我将“permit ip any any”添加到“出站过滤器”ACL,这基本上违背了目的。

我是否需要单独的 ACL 'inbound-filter' 和 'outbound-filter' 将它们分开应用到 WAN 和 vlan 接口?

将不胜感激任何人能够提供一些指导。

非常感谢,特伦特。

1个回答

端口转发不与应用于接口的访问列表一起工作的原因很简单。

让我们看看当外部客户端请求 https 网页时会发生什么。

请求包中的目的端口是443,源端口是随机的。这个请求在路由器上由 nat 转换,然后一直到服务器,服务器用来自端口 443 的数据包回答,并发往该客户端的随机数端口。

返回客户端的数据包到达您的路由器,但路由器不会让数据包离开,因为目标端口(该随机端口)未在您创建的访问列表中指定。

这就是您要寻找的原因。

其它你可能感兴趣的问题
上一篇基于ARIN信息的BGP路由 下一篇堆叠不同型号​​的戴尔交换机