例如你要封的内网某IP是1.1.1.100 , 让它只能访问2.2.2.100的80口.而其他的内网IP能正常访问任何网络:
Router(config)#ip access-list extended 101
Router(config-ext-nacl)#permit tcp host 1.1.1.100 host 2.2.2.100 eq www
Router(config-ext-nacl)#deny ip host 1.1.1.100 any
Router(config-ext-nacl)#permit ip any any
然后在相应的端口,一般是内网的网关IP的那端口:
Router(config-if)#ip access-group 101 in
这样就可以了.你之前一应用就全网断开那是因为cisco最后隐含一条deny any any的ACL.
你做好acl限制规则后,在最后加上一句permit all
就可以了。
acc 100 permit tcp host xxx host xxx eq 80
acc 100 deny ip any any
接口
ip access-group 100 in
ACL默认在语句后是deny any的 你看看你的语句有没有什么问题,80好封,可是你也知道现在的情况,随便找个端口就能上,最好能有个上网行为管理的防火墙什么的
80端口有很多应用的,迅雷什么的都用的80端口。你试试禁个别的端口试试?
内容全部来源于网络收集,如有侵权,请联系网站删除:QQ:24596024