网络工程 - ACL：拒绝特定主机不工作 - 吾爱随笔录

ACL：拒绝特定主机不工作

网络工程 ip ipv4 纳特 ACL 访问控制

2021-08-01 14:06:37

我正在尝试创建一个与 nat 一起使用的 acl，但我无法让拒绝语句起作用。

私有网络上的所有主机都应该是可访问的，除了从 192.168.10.0 和 192.168.11.0 之外的任何地方都不能访问的服务器。路由器通过 IP 连接到 ISP (203.1.1.4)：203.1.1.5

到目前为止，这是我对 acl 的了解：

ip access-list extended acltest
remark Prevent server from reaching outside NAT
deny ip 192.168.10.20 0.0.0.0
remark Allow access for other hosts on the networks
permit ip 192.168.10.0 0.0.0.255 any
permit ip 192.168.11.0 0.0.0.255 any

这样做时，我会收到一条关于不完整陈述的消息。

我也试过这样做：

deny host 192.168.10.20

...但这会在“主机”的开头返回“无效输入”消息。

检查列表后，许可声明通过但拒绝声明不通过。我在列表中做错了什么？谢谢。

2个回答

您在扩展访问列表（如标准访问列表）中仅将源地址用于拒绝，但扩展访问列表同时具有源地址和目标地址。您不需要用于 NAT 的扩展 ACL。

标准 ACL 应该可以工作：

access-list 10 deny host 192.168.10.20
access-list 10 permit 192.168.10.0 0.0.0.255
access-list 10 permit 192.168.11.0 0.0.0.255
!

此外，您的下一次尝试忘记使用ip扩展 ACL 所需的协议 ( )。

在扩展 ACL 中，正确的语法是

deny ip <source-ip> <source-wildcard> <destination-ip> <destination-wildcard>

所以你至少需要

deny ip 192.168.10.20 0.0.0.0 0.0.0.0 255.255.255.255

或更短

deny ip 192.168.10.20/32 any

其它你可能感兴趣的问题

上一篇CSMA p 的可理解/可实施解释 - 持久下一篇具有不同类型 VPLS 的 H-VPLS 应用