Cisco IOS 上的简单出口块 ACL

网络工程 思科 ACL
2021-07-10 18:30:25

我有一台装有 IOS 15.4 的 Cisco 890。作为我的配置的简要总结,FastEthernet 8 是上行链路和 NAT 其他接口(分组到 vlan 1)。

我正在尝试阻止对特定主机的访问,或者缺少网络阻止,但我运气不好。

这是我所拥有的: 

ip access-list extended wan_ipv4_out
 permit tcp any any
 permit ip any any
 deny   tcp any 208.73.210.0 0.0.1.255

然后将其应用到 FastEthernet

interface FastEthernet8
 ip dhcp client client-id ascii router
 ip address dhcp
 ip access-group wan_ipv4_out out
 ip nat outside
 ip virtual-reassembly in
 [... snipped ipv6 stuff ..]

但它似乎不起作用。理想情况下,我想阻止(例如“foo.example.com”解析为)的任何 IP,但这是对站点的临时黑客攻击,给我带来了麻烦,因此我不介意阻止整个 /23。

感谢您的任何帮助!-巴勃罗

1个回答

对于 Cisco ACL,每个列表的末尾都有一个隐式拒绝 ip any any您需要明确说明要允许/拒绝的流量。请注意,它会在它命中的第一个 ACL 条目上短路,因此如果您从208.73.210.0/23网络上的主机发送数据包,它将首先命中此 ACL 条目:

permit tcp any any

如果是 TCP,无论其来源如何,都将被允许。这是一个相当没有实际意义的条目,因为下一个条目将允许通过任何协议的任何源 IP 地址。将其更改为:

ip access-list extended wan_ipv4_out
  deny tcp any 208.73.210.0 0.0.1.255
  permit ip any any

请注意,208.73.210.0/23网络仍然能够通过不同的协议(UDP、ICMP 等)与其他网络通信。要阻止所有传出流量,请尝试:

ip access-list extended wan_ipv4_out
  deny ip any 208.73.210.0 0.0.1.255
  permit ip any any

这将允许除源地址为208.73.210.0/23 的FastEthernet8 上的传入流量之外的所有流量

其它你可能感兴趣的问题
上一篇CME 和 2951 嵌入式服务引擎问题 下一篇违规限制是否仍然适用于同一交换机但不同的端口