請(qǐng)教路由器NAT方面的問(wèn)題

george_young

各位，請(qǐng)教個(gè)NAT相關(guān)的問(wèn)題：一臺(tái)CISCO 2811作為路由器，對(duì)外打開了SSH訪問(wèn)。
f0/0 接公網(wǎng) 如202.101.10.97/29
f0/1 接內(nèi)網(wǎng) 如192.168.0.0/24

允許f0/1對(duì)外訪問(wèn)

access-list 12 permit ip 192.168.0.0 0.0.0.255
access-list 12 deny ip any any
#
ip route 0.0.0.0 0.0.0.0 f0/0
ip nat inside source list 12 interface f0/0 overload


這個(gè)時(shí)候子網(wǎng)和路由器均能正常對(duì)外訪問(wèn)


這時(shí)候子網(wǎng)對(duì)外訪問(wèn)是通
但當(dāng)在f0/0 上設(shè)定了ACL 僅允許訪問(wèn)公網(wǎng)IP的SSH端口，并將該規(guī)則綁到f0/0 的in后，發(fā)現(xiàn)子網(wǎng)無(wú)法對(duì)外訪問(wèn)。外網(wǎng)能訪問(wèn)2811的SSH口。
access-list 102 permit icmp any host 202.101.10.97 echo
access-list 102 permit tcp host www.xxx.yyy.zzz host 202.101.10.97 sq 22
access-list 102 permit tcp any any established
access-list 102 deny ip any any


inter f0/0
ip access-group 102 in

這個(gè)時(shí)候路由器和子網(wǎng)對(duì)外均無(wú)法訪問(wèn)


請(qǐng)問(wèn)還要加啥規(guī)則嗎?

按我個(gè)人理解  ip nat inside source list 12 interface f0/0 overload   這句是允許子網(wǎng)訪問(wèn)出去。即等同iptables forward鏈
而我綁定在f0/0上的in 應(yīng)該等同于iptables 的input鏈路。
這兩個(gè)應(yīng)該沒(méi)有影響， 請(qǐng)各位指正。

ssffzz1

udp,放開，否則DNS如何解析？

george_young

感謝LS的回復(fù)
目前從內(nèi)網(wǎng)對(duì)外網(wǎng)訪問(wèn)方式為ping  和ssh ，尚未使用客戶機(jī)配置DNS瀏覽網(wǎng)頁(yè)。

ssffzz1

TCP的那條改下。

試試。懷疑TCP某個(gè)FLAG你沒(méi)允許。

lnwu

你是要通過(guò)ssh管理Cisco 2811的話，acl規(guī)則應(yīng)用到vty線路上試試，這樣應(yīng)該就沒(méi)有問(wèn)題了。
line vty 0 4
access-class 102 in

acl規(guī)則不能應(yīng)用到端口fa0/0上

george_young

回復(fù) 4# ssffzz1


    感謝，已經(jīng)查出的問(wèn)題，需要用自反ACL才能搞定。

另外，有哥們知道生產(chǎn)環(huán)境里面內(nèi)外互通的嚴(yán)格規(guī)則嗎？

比如
外網(wǎng)----f0/0--路由--f0/1--交換機(jī)-服務(wù)器

f0/1上怎么能讓f0/1 流入到交換機(jī)/服務(wù)器 僅允許幾個(gè)端口嗎？比如僅僅80 443 8080 能流入，但交換機(jī)/服務(wù)器能任意對(duì)外訪問(wèn)。

george_young

回復(fù) 5# lnwu


   
目前的想法是用一個(gè)統(tǒng)一的規(guī)則阻擋外來(lái)訪問(wèn)。單綁定ACL到SSH-VTY上是能限制來(lái)自外部對(duì)SSH的訪問(wèn)。但如果路由器有其他端口也是開放的話，等于每個(gè)端口/服務(wù)都做個(gè)acl。

因此用的是:

允許a
允許b
允許b
都不允許

但上面這種寫法寫得太死了，我內(nèi)部的包出去都回不來(lái)了。對(duì)我這種入門人士來(lái)說(shuō)有難度。