了解思科扩展 ACL

网络工程 思科 ACL
2021-07-24 18:15:52

我试图限制对我们的 SIP 服务器的访问,209.85.2.10但是,我对permit ip any any log. 它不会允许所有东西进入吗?没有它,我失去了所有其他所需的流量。

问题,如何将访问限制5060为仅访问permit ip any any log并保留其余流量(即 http、smtp ..)。

permit ip any any log似乎与允许其他服务器连接的约束相矛盾。

内部网络

 interface GigabitEthernet0/1
 ip address 192.168.2.1 255.255.255.0
 ip nat inside
 ip access-group 104 out
 exit

 ip access-list extended 104
 permit udp host 209.85.2.10 host 192.168.2.5 eq 5060 log
 permit ip any any log
 deny ip any any log
 deny tcp any any log
 deny udp any any log
 exit

更新

所以我需要将上面的更改为

 ip access-list extended 104
 permit udp host 209.85.2.10 host 192.168.2.5 eq 5060 log
 deny ip any host 192.168.2.5 log
 permit ip any any log
 exit

那么这会按预期工作吗?

i)接受来自 from 的5060访问,并拒绝端口上的其余尝试ii) 让其他流量从网络中的任何地方进入任何地方,但是?192.168.2.5209.85.2.1050605060

更新最终产品

对于那些将来会找到这篇文章的人。由于此线程中两位先生的帮助,这是对我有用的配置。

ip access-list extended 104
permit tcp any host 192.168.2.5 eq 53
permit udp any host 192.168.2.5 eq 53
permit tcp any host 192.168.2.10 eq 25
permit tcp any host 192.168.2.10 eq 587
permit tcp any host 192.168.2.10 eq 993
permit tcp any host 192.168.2.10 eq 995
permit tcp any host 192.168.2.15 eq 80
permit tcp any host 192.168.2.15 eq 443
permit udp host 205.205.22.186 host 192.168.2.5 eq 5060
permit udp host 205.205.74.186 host 192.168.2.5 eq 5060
permit udp host 70.83.45.11 host 192.168.2.5 eq 5060
permit udp any host 192.168.2.20 eq 5080
permit udp any host 192.168.2.5 range 8000 65535
permit tcp any eq 25 host 192.168.2.10 range 1024 65535 established
permit tcp any eq 53 host 192.168.2.5 range 1024 65535 established
permit tcp any eq 53 host 192.168.2.10 range 1024 65535 established
permit tcp any eq 53 host 192.168.2.15 range 1024 65535 established
permit tcp any eq 53 host 192.168.2.20 range 1024 65535 established
permit udp any eq 53 host 192.168.2.5 range 1024 65535
permit udp any eq 53 host 192.168.2.10 range 1024 65535
permit udp any eq 53 host 192.168.2.15 range 1024 65535
permit udp any eq 53 host 192.168.2.20 range 1024 65535
permit tcp any eq 80 host 192.168.2.5 range 1024 65535 established
permit tcp any eq 80 host 192.168.2.10 range 1024 65535 established
permit tcp any eq 80 host 192.168.2.15 range 1024 65535 established
permit tcp any eq 80 host 192.168.2.20 range 1024 65535 established
deny ip any host 192.168.2.5 log
deny ip any host 192.168.2.10 log
deny ip any host 192.168.2.15 log
deny ip any host 192.168.2.20 log
permit ip any any
exit

ip nat inside source static 192.168.2.5 77.77.77.77 route-map voip-rtp extendable

提前致谢,

缺口。

1个回答

首先
没有名为 209.85.2.0 的主机,这是一种网络,您必须将其配置为网络而不是主机

允许 udp 209.85.2.0 0.0.0.255 主机 192.168.2.5 eq 5060 日志

其次,
您不需要
拒绝 ip 任何任何日志
拒绝 tcp 任何任何日志
拒绝 udp 任何任何日志,
因为访问列表有其自己的明确拒绝,因此在您的情况下,您只需要允许您想要的访问类型

第三,
您需要知道访问列表通过第一个匹配的概念工作,例如当您配置访问列表时,当 209.85.2.0 中的任何一个需要访问主机 192.168.2.5 时,此访问列表将只允许UDP 访问端口 5060 的第一行。

然后您还有其他 3 种情况与此行不匹配,将转到下一个 ACL 行
1. 209.85.2.0 以外的任何网络都需要访问 192.168.2.5
2. 网络 209.85.2.0 中的任何人都需要访问除此之外的任何网络192.168.2.5
3. 任何人需要访问任何其他网络

您的 ACL 第二行意味着您将允许任何人访问端口 5060 上的任何内容,甚至 192.168.2.5这是错误的如果您需要阻止任何其他网络访问此主机,您只需在第一行之后插入这 3 行

拒绝 ip 任何主机 192.168.2.5 日志

然后插入
permit ip any any log这将允许从任何地方访问其他服务器

其它你可能感兴趣的问题
上一篇JUNOS 中“show route forwarding-table”和“show pfe route ip”之间的区别? 下一篇CCP运行问题