询问一下，在路由器上设置acl的问题

iamshiyu 加好友

七夕银河-网络幽灵 2006-04-30 字数 686

我在公司的路由器上设置了acl，目的是让外网地址无法telnet到路由器上。

路由器是cisco2600的，设置过程如下

telnet xxx.xxx.xxx.xxx(路由器内网地址)

输入密码登入

enable

passwd

config t

access-list 102 deny tcp any eq 23 xxx.xxx.xxx.xxx 0.0.0.0(路由器外网地址）

access-list 102 permit tcp any any

access-list 102 permit udp any any (这样做是因为路由器还做内网上网的nat用）

exit

sh access-list 102

从结果看到acl 102已经设置成功，然后加载在外网端口的in方向

config t

int fastethernet 0/0(外网端口）

ip access-group 102 in

exit

sh ip interface fastethernet 0/0

看到如下结果

Outgoing access list is not set

Inbound access list is 102

然而从外部网络仍然能够telnet到路由器的外网口。

晕了，请教为什么还会这样？……

Networking 网络技术

回复 Like 加好友 iamshiyu

七夕银河-网络幽灵

11 个回复

danfertoo

danfertoo 2006-04-30

需要这么麻烦吗？呵呵，用基本acl+access-class不就行了？

【在 iamshiyu (七夕银河-网络幽灵) 的大作中提到: 】

: 我在公司的路由器上设置了acl，目的是让外网地址无法telnet到路由器上。

: 路由器是cisco2600的，设置过程如下

: telnet xxx.xxx.xxx.xxx(路由器内网地址)

: ...................

加好友回复

iamshiyu

七夕银河-网络幽灵 2006-05-01

不好意思，因为这台设备还要做内网的nat 用，而且还想要从内网上继续调试

路由器，所以才设计的这么复杂，否则直接关vty 了。

如果你熟悉，麻烦给指点一下什么地方出了问题，或者我的思路有什么问题，

感激不尽。或者能够给一个比较具体的操作过程，概念上我看了不少资料，但是感

觉在用的时候不是那么回事，而且公司的设备不是我想调就调的，要考虑大家还要

工作，所以希望如果有解决方案麻烦写的细一点，谢谢了。

【在 danfertoo (立志当大师) 的大作中提到: 】

: 标题: Re: 询问一下，在路由器上设置acl的问题

: 发信站: 水木社区 (Sun Apr 30 21:47:38 2006), 站内

: 需要这么麻烦吗？呵呵，用基本acl+access-class不就行了？

: 【在 iamshiyu (七夕银河-网络幽灵) 的大作中提到: 】

: : 我在公司的路由器上设置了acl，目的是让外网地址无法telnet到路由器上。

: : 路由器是cisco2600的，设置过程如下

: : telnet xxx.xxx.xxx.xxx(路由器内网地址)

: : ...................

: --

: 最近手头紧，为了省钱，经常一周不吃一顿饭

加好友回复

phanx

猪鼓励蛋糕·饭扫光 2006-05-03

是在vty 下应用，而不是 interface下

【在 iamshiyu (七夕银河-网络幽灵) 的大作中提到: 】

: 我在公司的路由器上设置了acl，目的是让外网地址无法telnet到路由器上。

: 路由器是cisco2600的，设置过程如下

: telnet xxx.xxx.xxx.xxx(路由器内网地址)

: ...................

加好友回复

iamshiyu

七夕银河-网络幽灵 2006-05-03

前面那个问题解决了，但我问这个问题的本意是希望高手指点一下到底我

编辑的这个ACL 错在哪里了，为什么不起作用？到底是我的思路有问题还是对

规则理解有问题还是操作有问题？因为我还需要编一些其他规则，封闭外网访

问也可以说是为了进行以后的设置而进行的一次试验……

再次感谢您的指点。

【在 phanx (猪鼓励蛋糕·饭扫光) 的大作中提到: 】

: 是在vty 下应用，而不是 interface下

加好友回复

danfertoo

danfertoo 2006-05-03

固定IP？怎么外网口是以太网啊

【在 iamshiyu (七夕银河-网络幽灵) 的大作中提到: 】

: 前面那个问题解决了，但我问这个问题的本意是希望高手指点一下到底我

: 编辑的这个ACL 错在哪里了，为什么不起作用？到底是我的思路有问题还是对

: 规则理解有问题还是操作有问题？因为我还需要编一些其他规则，封闭外网访

: ...................

加好友回复

iamshiyu

七夕银河-网络幽灵 2006-05-04

有问题么？外网口不是以太网口应该是什么？这台路由只连了2根rj45的线……

【在 danfertoo (立志当大师) 的大作中提到: 】

: 固定IP？怎么外网口是以太网啊

加好友回复

iamshiyu

七夕银河-网络幽灵 2006-05-07

请高手指点，为什么我设置的acl不起作用……多谢！

【在 iamshiyu (七夕银河-网络幽灵) 的大作中提到: 】

: 标题: 询问一下，在路由器上设置acl的问题

: 发信站: 水木社区 (Sun Apr 30 16:43:56 2006), 站内

: 我在公司的路由器上设置了acl，目的是让外网地址无法telnet到路由器上。

: 路由器是cisco2600的，设置过程如下

: telnet xxx.xxx.xxx.xxx(路由器内网地址)

: 输入密码登入

: enable

: passwd

: config t

: access-list 102 deny tcp any eq 23 xxx.xxx.xxx.xxx 0.0.0.0(路由器外网地址）

: access-list 102 permit tcp any any

: access-list 102 permit udp any any (这样做是因为路由器还做内网上网的nat用）

: exit

: sh access-list 102

: 从结果看到acl 102已经设置成功，然后加载在外网端口的in方向

: config t

: int fastethernet 0/0(外网端口）

: ip access-group 102 in

: exit

: sh ip interface fastethernet 0/0

: 看到如下结果

: Outgoing access list is not set

: Inbound access list is 102

: 然而从外部网络仍然能够telnet到路由器的外网口。

: 晕了，请教为什么还会这样？……

: --

: 如果说一个国家的国民是否有严重的拜金主义倾向是与军事毫无关系的话，我认为

: 参拜靖国神社、台独分子叫嚣台湾独立、反华国家宣扬中国威胁这些事例均属于与

: 军事无关的话题，因为它们只有通过讨论和深入挖掘精神层面的认识才能与军事话

: 题挂上钩，你能否认吗？

加好友回复

hustkkkk

我爱北京天安门 2006-05-08

access-list 102 deny tcp any eq 23 xxx.xxx.xxx.xxx 0.0.0.0

是不是这样

access-list 102 deny tcp any xxx.xxx.xxx.xxx 0.0.0.0 eq 23

【在 iamshiyu (七夕银河-网络幽灵) 的大作中提到: 】

: 我在公司的路由器上设置了acl，目的是让外网地址无法telnet到路由器上。

: 路由器是cisco2600的，设置过程如下

: telnet xxx.xxx.xxx.xxx(路由器内网地址)

: ...................

加好友回复

iamshiyu

七夕银河-网络幽灵 2006-05-08

我是每一步看提示，提示上说允许像我那样操作……

回头我试试看……

【在 hustkkkk (我爱北京天安门) 的大作中提到: 】

: access-list 102 deny tcp any eq 23 xxx.xxx.xxx.xxx 0.0.0.0

: 是不是这样

: access-list 102 deny tcp any xxx.xxx.xxx.xxx 0.0.0.0 eq 23

: ...................

加好友回复

danfertoo

danfertoo 2006-05-09

正解

【在 hustkkkk (我爱北京天安门) 的大作中提到: 】

: access-list 102 deny tcp any eq 23 xxx.xxx.xxx.xxx 0.0.0.0

: 是不是这样

: access-list 102 deny tcp any xxx.xxx.xxx.xxx 0.0.0.0 eq 23

: ...................

加好友回复

danfertoo

danfertoo 2006-05-12

是允许，但是表达的意思就不一样了

【在 iamshiyu (七夕银河-网络幽灵) 的大作中提到: 】

: 我是每一步看提示，提示上说允许像我那样操作……

: 回头我试试看……

加好友回复