我基于自己的记忆力做了很多事情,而且我可能不完全正确。
在使用BVI或桥接路由的Cisco 851(IOS)(内部服务器configuration了静态和公共IP地址)。 我将在FastEthernet4(广域网端口)上应用两个访问列表(两端都带有deny ip any any log )。 FA4将会有一个,FA4将会有一个。
FA4 出来会有一条线
access-list 110 permit 98.76.54.0 0.0.0.255 gt 1023 any eq http
我认为这意味着从98.76.54。*与一个从至less1024的端口可以连接到目标端口80的任何其他机器。
那么,我必须允许对HTTP连接的响应。
FA4 中会有一条线
access-list 120 permit any eq http 98.76.54.0 0.0.0.255 gt 1023
现在的问题是,外面的任何人都可以将它们从端口设置为80端口,然后连接到任何至less为1024的内部端口。
我们如何防止这种情况,并要求传入的数据是对传出数据的响应。
你会想要允许任何build立的连接,所以这样的事情:
access-list 120 permit tcp any 98.76.54.0 0.0.0.255 established
https://supportforums.cisco.com/docs/DOC-1870;jsessionid=CDF341D626FB4FBBF03859E5610B0344.node0