这是我们公司的互联网网关路由器。 这是我想要在Cisco 2691路由器上完成的:
到目前为止,networking服务器并不需要外部访问……或者无论如何,偶尔的VPN在需要的时候已经足够了。 因此,下面的configuration已经足够了:
access-list 106 deny ip 66.220.144.0 0.0.7.255 any access-list 106 deny ip ... (so on for the Facebook blocking) access-list 106 permit ip any any ! interface FastEthernet0/0 ip address xxxx 255.255.255.248 ip access-group 106 in ip nat outside fa0/0是公网IP的接口
但是,当我添加…
ip nat inside source static tcp 192.168.0.52 80 xxxx 80 extendable
…为了转发networkingstream量到networking服务器,这只是完全打开它。 这对我来说很有意义。 这是我被困住的地方。 如果我添加一条线到ACL来明确地允许(白名单)一个IP范围…像这样:
access-list 106 permit tcp xxxx 0.0.255.255 192.168.0.52 0.0.0.0 eq 80
…我如何阻止其他外部访问networking服务器,同时仍然保持内部员工无限制的互联网访问?
我试图删除access-list 106 permit ip any any 。 这最终是一个非常短暂的configuration:)
就像access-list 106 permit ip 192.168.0.0 0.0.0.255 any “外部入境”的工作?
我认为你的外部访问列表应该根据操作指南的NAT顺序(192.168.0.52)引用全局内部地址(xxxx)( http://www.cisco.com/en/US/tech/tk648/tk361/technologies_tech_note09186a0080133ddd .shtml )
因此,下面的configuration阻止Facebook,允许来自允许的子网yyyy的TCP命中xxxx,拒绝其他所有发往xxxx的端口80的东西,然后允许一切。
access-list 106 deny ip 66.220.144.0 0.0.7.255 any access-list 106 deny ip ... (so on for the Facebook blocking) !Where yyyy equals an 'allowed' subnet to hit the webserver, and xxxx equals your outside IP address access-list 106 permit tcp yyyy 0.0.255.255 host xxxx eq 80 access-list 106 deny tcp any xxxx eq 80 access-list 106 permit ip any any ! interface FastEthernet0/0 ip address xxxx 255.255.255.248 ip access-group 106 in ip nat outside