以前从未接触过网络设备配置,这一次也仅仅只是为现实需求,在网上查了些资料,再结合实践应用,将这一点点的经验作个备忘。
eth0内网接口,eth1公网接口,公网ip:123.123.123.123
1、端口映射
int eth1
nat server global 123.123.123.123 www inside 192.168.1.4 www tcp
此时外网用户已可以通过公网IP访问,但内网用户只能用内网IP访问。貌似华为中低档路由都有这个问题。
2、分时段限制可访问端口
acl 3000
rule special deny tcp source any destination any destination-port greater-than 1024
rule special deny udp source any destination any destination-port greater-than 1024
quit
int eth1
firewall packet-filter 3000 outbound
quit
settr 08:00 11:30 14:00 17:30
timerange enable
firewall enable
实现了出口包过滤,禁止在上班时间访问1024以上端口。这里总结实现过滤的三要素:a、定义了acl规则。b、绑定了规则。c、开启了防火墙。
3、normal和special不同时生效
当我开启timerange enable后,发现内网用户不能上网了,后来注意到eth1中有
nat outbound 2001 address-group MYPOOL
查看acl 2001
rule normal permit source 10.100.10.0 0.0.0.255
当采用分时段过滤时,normal在非时间区域生效,special在时间区域生效,两者不会同时有效。所以增加
rule special permit source 10.100.10.0 0.0.0.255
4、出口限制的影响
当我在eth1的出口方向禁止访问1024以上端口后,发出外部用户无法访问内部web服务了。
当外部用户234.234.234.234访问时,路由器eth1出口方向有如下记录:
source 192.168.1.4 source-port 80 destination 234.234.234.234 destination-port 1592
当然destination-port很可能不是1592,但一定是大于1024的,所以据前面的规则,路由器会将返回给外部用户234.234.234.234的数据丢弃。
解决这个问题只需在acl 3000增加
rule special permit tcp source 192.168.1.4 0.0.0.0 destination any
分享到:
相关推荐
华为路由器配置手册华为路由器配置手册华为路由器配置手册华为路由器配置手册华为路由器配置手册华为路由器配置手册
一个很好的学习思科和华为路由器配置原模拟软件
华为路由器配置模拟软件是专为学习和实践华为路由器配置而设计的一款强大工具。这款软件能够帮助用户在不实际操作物理设备的情况下,理解并掌握华为路由器的配置与管理,极大地提升了学习效率和实践能力。通过虚拟化...
华为交换机路由器配置实验 本实验主要介绍了华为交换机路由器的配置实验,涵盖了交换机 VLAN 应用配置、交换机 VLAN 接口静态 IP 地址配置和交换机 VLAN 接口动态获取 IP 地址配置等多方面的知识点。 一、交换机 ...
华为路由器配置手册 华为路由器配置手册 华为路由器配置手册
华为高端路由器配置及维护实践(个人归纳).pdf华为高端路由器配置及维护实践(个人归纳).pdf华为高端路由器配置及维护实践(个人归纳).pdf华为高端路由器配置及维护实践(个人归纳).pdf华为高端路由器配置及维护实践...
华为高端路由器配置及维护实践(个人归纳).docx华为高端路由器配置及维护实践(个人归纳).docx华为高端路由器配置及维护实践(个人归纳).docx华为高端路由器配置及维护实践(个人归纳).docx华为高端路由器配置及维护实践...
华为路由器详细配置命令是学习华为交换机路由器最好学习资料
华为中高端路由器配置手册,网络特性学习,路由器配置查询的好工具
华为所有路由器交换机配置简介 好书.chm
华为路由器配置实例 1 华为路由器(R2621)、交换机(S3026e)各一台,组建一VLAN,实现虚拟网和物理网之 间的连接。实现防火墙策略,和访问控制(ACL),我们这里用的是四台电脑。 方案说明: 四台PC的IP地址、掩码...
华为路由器与CISCO路由器在配置上的差别 华为路由器与CISCO路由器在配置上的差别是网络工程师需要了解的重要知识点。随着网络技术的发展,路由器的配置变得越来越复杂,华为路由器与CISCO路由器是两个最常见的...
华为路由器Telnet配置详细命令 本文档详细介绍了华为路由器Telnet配置的命令,适合新手学习。下面是华为路由器Telnet配置的详细命令: 系统视图 首先,需要进入系统视图,使用命令`system-view`,然后按下Ctrl+Z...
华为路由器交换机配置命令大合集 华为路由器交换机配置命令是网络管理员和IT专业人士不可或缺的一部分,这些命令能够帮助他们快速地配置和管理华为路由器交换机,从而确保网络的稳定运行。本文将对华为路由器交换机...
华为Quidway 2600路由器帧中继配置实例解析 华为Quidway 2600路由器作为一款高性能的网络设备,在企业级网络架构中扮演着关键角色。帧中继(Frame Relay)作为一种高效的数据传输技术,在过去是构建广域网(WAN)的主要...
在本文档中,我们主要探讨了如何配置华为低端路由器,特别是华为AR2811型号,这是一款在小型网络环境中常见的设备。配置过程通常包括三个关键步骤:设置上行接口IP地址、配置默认路由以及保存配置。以下是这些步骤的...
华为路由器安全配置规范是针对中国移动通信网络中使用华为路由器的安全设定标准,旨在确保网络与信息的安全,防止未经授权的访问、攻击或数据泄露。规范详细规定了在配置华为路由器时应遵循的安全措施,以提高网络的...
华为路由器配置策略路由,多出口案例。
华为路由器配置手册