关于过滤ping和过滤telnet的ACL

最新推荐文章于 2024-05-08 19:00:00 发布
最新推荐文章于 2024-05-08 19:00:00 发布
阅读量222 收藏
点赞数
文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_33813128/article/details/85137901
版权

  经常使用TCP/IP网络的人,一定会用到ping和traceroute(Windows 系统为tracert)命令,这两条命令是基于ICMP协议的。ICMP与其他协议一起为网络发布错误报告,并提供使用其他协议时所发生的相关信息。

•我们知道ICMP提供了其他网络服务和应用程序的大量信息,而***也可以使用ICMP来获取企业网络上的信息,因此作为网络管理者是不希望将这些信息泄漏出来的。但是,如果没有ICMP,网络管理程序就不能工作,至少不能正常工作。过滤ICMP比过滤TCP、UDP都要难,因为ICMP信息多数是为了响应其他程序而产生的.
 
•正常情况下,我们使用的ICMP报文有:
•⑴echo-request:为ping使用的环路测试请求;
⑵echo-reply:为ping使用的环路测试回应;
⑶packet-too-big:某些程序用来侦测目标地址路径上的MTU;
⑷time to live (TTL)  ttl-exceeded :tracerouter 测试网络报文生存周期;
⑸destination host unreachable:通知会话目标不可达。

 

看如下拓扑图:

 如果只允许r0 可以ping r1,不允许r1来ping ro,我们可以这样来配置。
r0(config)#access-list 101  permit  icmp host 12.1.1.2  host 12.1.1.1  echo-reply  
既允许12.1.1.2到12.1.1.1 返回的包,意思就是如果是12.1.1.2返回12.1.1.1的包就允许,而12.1.1.2主动发起的ping包就不允许。
r0(config)#interface e0/0
r0(config-if)#ip access-group 101  in     --进入接口并启用ACL 101

关于过滤telnet,有两种方法。根据telnet端口连接的原理,我们发现建立telnet连接时本机都是一个大于1024的端口与对方的23端口对应,我们可以这样写
r0(config)#access-list 100 permit  tcp  host 12.1.1.2 eq 23  host 12.1.1.1  gt 1024
既 只允许12.1.1.2的23端口访问12.1.1.1大于1024的端口,这样灵活应用TCP的端口号,实现了R0能TELNET进R1,而R1却不能TELNET进R0。
r0(config)#interface e0/0
r0(config-if)#ip access-group 100 in
这种情况下ping也被禁止了。

或者也可以这样
r1(config)#access-list 12 permit 12.1.1.1  0 0.0.0.0
r1(config)#line vty 0 4
 r1(config-line)#access-class 12 in
在r0上拒绝12.1.1.2,这种情况下ping没有问题。

weixin_33813128
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
批量PingTelnet检测
12-25
批量PingTelnet检测
acl过滤telnet 、icmp 配置实验
hello
03-01 472
R1-aaa]local-userR1 service-type telnet 为用户添加服务类型。[R1-ui-vty0-4]authentication-mode aaa 指定用户认证方式。[R2-ui-vty0-4]authentication-mode aaa 指定用户认证方式。创建用户->指定服务类型->创建虚拟用户通道->指定用户认证方式。创建用户->指定服务类型->创建虚拟用户通道->指定用户认证方式。3、pc2 不可以访问telnet R1,可以ping R1。
ACLTelnet
weixin_55932038的博客
05-18 733
在R2配置基本ACL,允许源IP:192.168.1.254 远程登录R2 ,拒绝其他IP远程。<R1>telnet -a 192.168.12.1 192.168.2.254(R2) 无法远程。<R1>telnet -a 192.168.12.1 192.168.12.2(R2) 无法远程。[R2-ui-vty0-4]acl 2000 inbound //在vty虚接口调用acl。[R3-ui-vty0-4]acl 2000 inbound //在vty虚接口调用acl
实验:基于ACL实现与禁止TelnetPing命令(HCIA)
kittle_linxi的博客
04-12 1400
ACL拓展实验
关键字过滤方法
willianyy的专栏
05-03 979
<br />/// /// 过滤关键字 /// /// 待过滤的内容。 /// 要过滤的关键字。 /// 要过滤的关键字的替换字符串。 /// 返回检查后的内容。 private string FilterKeyWord(string strContent, string strKeyWord, string strNewString)
ACL过滤
Jivove的博客
02-01 2090
一、ACL过滤 1、ACL 定义 访问控制列表 用于数据流的匹配和筛选 2、基于ACL的包过滤 定义 对进出的数据包逐包检查,丢弃或允许通过 包过滤必须配置在接口的某个方向上才能生效 一个接口的一个方向只能配置一个包过滤策略 包过滤的方向 入方向:只对从外部进入的数据包做过滤 出方向:只对从内部发出的数据包做过滤过滤的工作流程 数据包到达接口检查是否应用了A...
ensp配置ACL过滤企业数据 【高级ACL设置访问telnet和ftp】
m0_46314654的博客
07-26 4843
一、实验描述 企业部署了三个网络,其中R2连接的是公司总部网络,R1和R3分别为两个不同分支网络的设备,这三台路由器通过广域网相连。你需要控制员工使用Telnet和FTP服务的权限,R1所在分支的员工只允许访问公司总部网络中的Telnet服务器,R3所在分支的员工只允许访问FTP服务器。 二、实验目的 掌握高级ACL的配置方法 掌握ACL在接口下的应用方法 三、实验环境 ENSP 四、工具材料 ENSP 五、实验步骤 步骤一实验环境准备 如果本任务中您使用的是空配置设备,需..
配置ACL过滤企业数据(使用eNSP)
weixin_47221645的博客
10-13 1433
配置ACL过滤企业数据 场景 企业部署了三个网络,其中R4连接的是公司总部网络,R1和R2分别为两个丌同分支网络的设备,这三台路由器通过广域网(使用一路由器R3模拟)相连。你需要控制员工使用Telnet和FTP服务的权限,R1所在分支的员工只允许访问公司总部网络中的Telnet服务器,R2所在分支的员工只允许访问FTP服务器。 拓扑图 步骤一:环境准备 对LSW1 [Huawei]sysname S1 [S1]vlan 4 [S1-vlan4]q [S1]int vlan 4 [S1.
批量pingtelnet工具
10-03
针对一个网段,指定端口的批量pingtelnet工具,适合用于测试一个网段的机器有没有开放特定端口,检测是否打开某软件或开放了某端口。
telnetping使用讲解(图)
07-10
telnetping使用讲解(图),我们在测试网络的时候,telnetping是我们最经常使用的两个命令。
ubuntu 禁止外部ping和允许ping方法
01-09
在日常网络服务器的维护和使用过程中,ping命令是最为常用的一个检测命令,它所使用的是ICMP协议。但是为了保护主机,很多时候我们需要禁止ICMP协议,即禁止用户ping操作,在这种情况下,终端再使用ping命令检测,...
tracert和ping命令程序实现
03-09
1、适用于计算机网络的课设 2、采用c++语言实现 3、用 dev c++或者vs打开即可 4、建议关闭防火墙再执行tracert命令
FR-TSN4206获得“时间敏感网络产业链名录计划”测试认证证书,TSN交换机助力智能工业发展
fiberroad的博客
04-30 525
TSN技术,即时间敏感网络技术,已成为智能工业、自动驾驶等领域的核心。它通过时钟同步、数据调度等功能,确保低延迟、高可靠性的数据传输。为推动TSN技术在我国的发展,工业互联网产业联盟联合多家单位启动了“时间敏感网络产业链名录计划”。光路科技的FR-TSN4206交换机成功通过该计划认证
java线上问题排查之磁盘和网络查看分析(二)
wayne_youlu的博客
04-30 551
overflowed 标识全连接队列溢出的次数,最前面是0,标识没有队列溢出的情况,网络环境正常。来查看网络是否连接。如果出现下图内容,则证明网络已经连接。
防火墙技术基础篇:什么是包过滤技术
qq_39241682的博客
05-08 626
当数据在网络中传输时,它们被分割成小的单元,称为数据包。防火墙的包过滤是一种基本的网络安全技术,用于检查这些数据包并根据预定义的规则决定是否允许它们通过防火墙。防火墙包过滤是一种关键的网络安全技术,它工作在网络层,用于控制进出一个网络的数据包。通过检查每个数据包的头部信息(比如源IP地址、目的IP地址、端口号以及协议类型等),包过滤防火墙能够决定哪些数据包被允许通过,哪些被阻止或丢弃。
万兆以太网MAC设计(11)完整UDP协议栈仿真
m0_56222647的博客
04-28 1590
目前除了巨帧处理逻辑之外,所有的准备工作都已经结束了,先进行整体的功能验证。
2024 怎么从一个小白到一名黑客,自学笔记
最新发布
2401_84466225的博客
05-08 489
想自学网络安全(黑客技术)首先你得了解什么是网络安全!什么是黑客!网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。无论网络、Web、移动、桌面、云等哪个领域,都有攻与防两面性,例如 Web 安全技术,既有 Web 渗透,也有 Web 防御技术(WAF)。作为一个合格的网络安全工程师,应该做到攻守兼备,毕竟知己知彼,才能百战百胜。
Linux内核常用调优参数
虫虫的博客
04-30 899
Linux内核常用调优参数
ping通IP,telnet 3306不通
06-07
这个问题可能涉及到网络和数据库方面的知识。 首先,ping通IP意味着你的计算机可以成功地向该IP地址发送ICMP请求并接收到响应。如果ping不通IP,可能是网络连接问题,比如IP地址错误、DNS解析失败、网络不稳定等...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值