为一个IP开放端口

网络工程 思科 访问控制
2021-08-02 18:07:22

我有一台 Cisco 1921,我想允许一个 WAN IP 号码(我们称之为 1.2.3.4)访问 LAN 上的服务器。我的 WAN 接口是 GigabitEthernet0/0,我的 LAN 接口是 GigabitEthernet0/1。我现在有一个同时应用于入站 GigabitEthernet0/0 和出站 GigabitEthernet0/1 的访问列表,这里是这个:

10 permit udp host 8.8.8.8 eq domain any
20 permit udp host NTPIP eq ntp host ciscoIP eq ntp
25 permit tcp host 1.2.3.4 eq 3389 host 192.168.31.9 eq 3389
26 permit udp host 1.2.3.4 eq 3389 host 192.168.31.9 eq 3389
28 deny udp any any eq 3389
29 deny tcp any any eq 3389
30 permit ip any any

使用此访问列表,我无法使 RDP 连接正常工作,但是如果我将该访问列表替换为10 permit ip any any在入站接口 GigabitEthernet0/0 上只有一行的访问列表,则 RDP 工作正常,这意味着我必须设置 NAT 端口转发正确吗?

据我所知,第 25 行和第 26 行应该允许 1.2.3.4 访问端口 3389,而第 28 行和第 29 行应该禁止所有其他 IP。那么我哪里出错了?

1个回答

如果您正确设置了端口转发,您不希望在 WAN 端口上限制此设置,因为传入数据包不会将私有地址作为传入数据包中的目标地址。

端口转发将允许公共寻址的数据包流向特定的私有地址。然后,ACL 可以仅包含源地址和 RDP 端口以限制源设备,但端口转发将只负责将其转发到配置的私有 IP 地址。

其它你可能感兴趣的问题
上一篇在未知主机环境中设置私有子网 下一篇如何过滤像这样名称地址的流量?