相关: Cisco IOS ACL:不允许传入连接,因为它们来自端口80
我知道我们可以使用TCP established关键字..但是,我们可以做什么的UDP(短缺replace桥或BVI与NAT)?
我发现什么“UDP没有连接”的意思。
DNS使用UDP例如..
named (DNS服务器)在端口53上消失 nslookup (DNS客户端)开始监听某个随机端口,并将数据包发送到服务器的端口53,并logging该数据包中的源端口。 nslookup将重试3次。 此外,数据包太小,不必担心他们错误的顺序。 nslookup收到来自服务器IP和端口的端口上的响应,则停止监听。 如果服务器试图发送两个响应(例如对重试的响应和响应),那么服务器不会在意是否因为客户端有重试的任务而做出任何响应。 事实上,除非通过服务器获取ICMP 3/3数据包,否则不会知道失败。 这与TCP连接closures或超时错误不同。 DNS允许从客户端轻松重试以及小数据包..所以UDP是一个很好的select,因为它更有效率。 在UDP中你会看到
nslookup发送请求 named发送答案 在TCP中,你会看到
nslookup的机器发送SYN named的机器发送SYN-ACK nslookup的机器发送ACK和请求 named的机器发送响应 这比一个微小的DNS数据包所需要的要多得多
UDP数据包不build立连接,他们真的火,忘了! 一个简单的permit udp host XX.xx.xx.xx host xx.xx.xx.xx eq xx应该是所有必需的。
在寻找其他东西的时候偶然偶然发现了这个网页,并想到要增加几分钱…
在IOS上执行状态防火墙的时候,你可以使用一个称为“自反ACL”的长期存在的function – 在一个方向上的数据包在ACL中打出一个空洞,这就允许数据包在另一个方向。
configuration指南详细介绍了该function,但简而言之,它是如下所示:
这里是一个简单的configuration示例:
interface Dialer1 ip address negotiated ip access-group V4-GATE in ip access-group V4-REF out ! ip access-list extended V4-GATE permit icmp any any echo-reply permit icmp any any unreachable permit icmp any any ttl-exceeded permit icmp any any packet-too-big evaluate V4-REFLECTOR deny ip any any log ! ip access-list extended V4-REF permit udp any any eq domain reflect V4-REFLECTOR timeout 10 permit ip any any reflect V4-REFLECTOR !
这将给你几乎与NAT过载一样的状态量。
HTH。
(编辑:看到你提到的BVI – 也许这个的适用性将取决于你的configuration。上面说明的是Dialer1是连接到互联网的出口接口。如果你使用路由器,你可能需要以适应这一点 – 尽pipe我认为它仍然适用。如果连接两对连接的接口是同一个桥组的成员,则这是不可用的)