以前从未接触过网络设备配置,这一次也仅仅只是为现实需求,在网上查了些资料,再结合实践应用,将这一点点的经验作个备忘。
eth0内网接口,eth1公网接口,公网ip:123.123.123.123
1、端口映射
int eth1
nat server global 123.123.123.123 www inside 192.168.1.4 www tcp此时外网用户已可以通过公网IP访问,但内网用户只能用内网IP访问。貌似华为中低档路由都有这个问题。
2、分时段限制可访问端口
acl 3000
rule special deny tcp source any destination any destination-port greater-than 1024
rule special deny udp source any destination any destination-port greater-than 1024
quit
int eth1
firewall packet-filter 3000 outbound
quit
settr 08:00 11:30 14:00 17:30
timerange enable
firewall enable 实现了出口包过滤,禁止在上班时间访问1024以上端口。这里总结实现过滤的三要素:a、定义了acl规则。b、绑定了规则。c、开启了防火墙。
3、normal和special不同时生效
当我开启timerange enable后,发现内网用户不能上网了,后来注意到eth1中有
nat outbound 2001 address-group MYPOOL查看acl 2001
rule normal permit source 10.100.10.0 0.0.0.255
当采用分时段过滤时,normal在非时间区域生效,special在时间区域生效,两者不会同时有效。所以增加
rule special permit source 10.100.10.0 0.0.0.255
4、出口限制的影响
当我在eth1的出口方向禁止访问1024以上端口后,发出外部用户无法访问内部web服务了。
当外部用户234.234.234.234访问时,路由器eth1出口方向有如下记录:
source 192.168.1.4 source-port 80 destination 234.234.234.234 destination-port 1592
当然destination-port很可能不是1592,但一定是大于1024的,所以据前面的规则,路由器会将返回给外部用户234.234.234.234的数据丢弃。
解决这个问题只需在acl 3000增加
rule special permit tcp source 192.168.1.4 0.0.0.0 destination any
7944
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
