acl 限制一个ip访问外网,在局域网内,限制一个ip地址访问外网的acl,希望给出具体的acl命令,思科的最好
kuaidi.ping-jia.net 作者:佚名 更新日期:2024-07-03
acl禁止一个ip段某些连续ip地址,怎么做设置。
access-list 234 deny host 你防火墙或做NAT转换的路由器的IP。
这规则的目标是限制用户访问出口,访问不了出口也就访问不了外网了。配置为CISCO2950交换机的配置。不同交换机配置可能不同不过大同小异。
最简单的:
R(config)#access-list 1 deny 192.168.1.1
ps:1是访问列表号
192.168.1.1是目标ip
这是个例子.具体根据需要更换.
acl 3999
ru 0 per sou (www.cctv.com)
ru 1 per sou ....
ru 100 deny
port eth 1/1
pack acl 3999
enable
conf t
access-list 110 deny ip host 192.168.1.1 any
accless-list 110 deny ip any host 192.168.1.1
accless-list 110 permit ip any any
exit
interface fas 0/1
ip accless-group 110 in
这个是在路由器设制的,别的软件上设的,你要看一下你们的路由器。防火墙这里你好好看下
10.1.11.1--10.1.11.128算出掩码为:255.255.255.128
所以通配符为:0.0.0.127
下面是配置:
en
conf t
ip access-list 1 deny 10.1.11.0 0.0.0.127
ip access-list 1 permit any
end
int s0/0(这是你的网关的内部接口)
ip access-group in
注意:以上命令是配置在网关上面,也就是连接外网的路由器上面。
不懂请追问
既然内网网段建立了访问列表,允许特定网段的地址访问某些网段,那么在特定网段之外的用户就访问不了外网。
如果一些用户是指公司内部的话,那可以利用IP和MAC地址绑定来防止这现象。
根据具体情况了,在交换机上设置VLAN,在公司的内网网段建立一个VLAN
access-list 234 deny host 你防火墙或做NAT转换的路由器的IP。
这规则的目标是限制用户访问出口,访问不了出口也就访问不了外网了。配置为CISCO2950交换机的配置。不同交换机配置可能不同不过大同小异。
最简单的:
R(config)#access-list 1 deny 192.168.1.1
ps:1是访问列表号
192.168.1.1是目标ip
这是个例子.具体根据需要更换.
acl 3999
ru 0 per sou (www.cctv.com)
ru 1 per sou ....
ru 100 deny
port eth 1/1
pack acl 3999
enable
conf t
access-list 110 deny ip host 192.168.1.1 any
accless-list 110 deny ip any host 192.168.1.1
accless-list 110 permit ip any any
exit
interface fas 0/1
ip accless-group 110 in
这个是在路由器设制的,别的软件上设的,你要看一下你们的路由器。防火墙这里你好好看下
