Cisco ACL 未按预期工作

网络工程 思科 路由器 ACL 访问控制
2021-07-30 07:04:38

我有一个我想拒绝访问的客户端,以便他无法访问我的网络主机。他在我的网络主机上扫描了这个指定的端口,我想阻止它(端口 137)。

使用 NMAP,客户端能够在我的网络主机 (137) 上找到我的开放端口。所以我使用命令在我的路由器上实现了一个 ACL。

access-list 111 deny udp (insert client ip) any eq 137
access-list 111 permit udp any any

我想要做的是确保当客户端使用 NMAP 扫描我的网络主机的端口时,由于配置了 ACL,端口 137 将被过滤而不是打开,但是,客户端甚至无法 ping 我的网络主机现在,除非permit ICMP any any在 ACL 中添加另一个命令,

为什么会这样?有专家能解释一下吗?

1个回答

每个访问列表的末尾都有一个隐含的“拒绝”。所以你当前的访问列表实际上是:

access-list 111 deny udp (insert client ip) any eq 137
access-list 111 permit udp any any
access-list 111 deny ip any any

这意味着允许任何 UDP 流量(从客户端到端口 137 除外),但会丢弃该接口上的所有其他流量(包括 TCP 和 ICMP)。你要找的是这个:

access-list 111 deny udp (insert client ip) any eq 137
access-list 111 permit ip any any
其它你可能感兴趣的问题
上一篇Cisco 专有协议 - 生成树 下一篇这个子网划分限制意味着什么