温馨提示×

温馨提示×

您好,登录后才能下订单哦!

密码登录×
登录注册×
其他方式登录
点击 登录注册 即表示同意《亿速云用户服务条款》

过滤ping和过滤telnet的ACL是怎么样的

发布时间:2021-12-30 11:12:15 来源:亿速云 阅读:171 作者:柒染 栏目:云计算

本篇文章给大家分享的是有关过滤ping和过滤telnet的ACL是怎么样的,小编觉得挺实用的,因此分享给大家学习,希望大家阅读完这篇文章后可以有所收获,话不多说,跟着小编一起来看看吧。

  经常使用TCP/IP网络的人,一定会用到ping和traceroute(Windows 系统为tracert)命令,这两条命令是基于ICMP协议的。ICMP与其他协议一起为网络发布错误报告,并提供使用其他协议时所发生的相关信息。

•我们知道ICMP提供了其他网络服务和应用程序的大量信息,也可以使用ICMP来获取企业网络上的信息,因此作为网络管理者是不希望将这些信息泄漏出来的。但是,如果没有ICMP,网络管理程序就不能工作,至少不能正常工作。过滤ICMP比过滤TCP、UDP都要难,因为ICMP信息多数是为了响应其他程序而产生的.

•正常情况下,我们使用的ICMP报文有:

•⑴echo-request:为ping使用的环路测试请求;
⑵echo-reply:为ping使用的环路测试回应;
⑶packet-too-big:某些程序用来侦测目标地址路径上的MTU;
⑷time to live (TTL)  ttl-exceeded :tracerouter 测试网络报文生存周期;
⑸destination host unreachable:通知会话目标不可达。

看如下拓扑图:

过滤ping和过滤telnet的ACL是怎么样的

 如果只允许r0 可以ping r1,不允许r1来ping ro,我们可以这样来配置。
r0(config)#access-list 101  permit  icmp host 12.1.1.2  host 12.1.1.1  echo-reply  
既允许12.1.1.2到12.1.1.1 返回的包,意思就是如果是12.1.1.2返回12.1.1.1的包就允许,而12.1.1.2主动发起的ping包就不允许。
r0(config)#interface e0/0
r0(config-if)#ip access-group 101  in     --进入接口并启用ACL 101

关于过滤telnet,有两种方法。根据telnet端口连接的原理,我们发现建立telnet连接时本机都是一个大于1024的端口与对方的23端口对应,我们可以这样写
r0(config)#access-list 100 permit  tcp  host 12.1.1.2 eq 23  host 12.1.1.1  gt 1024
既 只允许12.1.1.2的23端口访问12.1.1.1大于1024的端口,这样灵活应用TCP的端口号,实现了R0能TELNET进R1,而R1却不能TELNET进R0。
r0(config)#interface e0/0
r0(config-if)#ip access-group 100 in
这种情况下ping也被禁止了。

或者也可以这样
•r1(config)#access-list 12 permit 12.1.1.1  0 0.0.0.0
•r1(config)#line vty 0 4
• r1(config-line)#access-class 12 in
在r0上拒绝12.1.1.2,这种情况下ping没有问题。

以上就是过滤ping和过滤telnet的ACL是怎么样的,小编相信有部分知识点可能是我们日常工作会见到或用到的。希望你能通过这篇文章学到更多知识。更多详情敬请关注亿速云行业资讯频道。

向AI问一下细节

免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。

AI