华为2600路由器配置

以前从未接触过网络设备配置,这一次也仅仅只是为现实需求,在网上查了些资料,再结合实践应用,将这一点点的经验作个备忘。

 

eth0内网接口,eth1公网接口,公网ip:123.123.123.123

 

1、端口映射

int eth1
nat server global 123.123.123.123 www inside 192.168.1.4 www tcp

此时外网用户已可以通过公网IP访问,但内网用户只能用内网IP访问。貌似华为中低档路由都有这个问题。

 

 

2、分时段限制可访问端口

acl 3000
rule special deny tcp source any destination any destination-port greater-than 1024
rule special deny udp source any destination any destination-port greater-than 1024
quit

int eth1
firewall packet-filter 3000 outbound
quit

settr 08:00 11:30 14:00 17:30
timerange enable

firewall enable 

实现了出口包过滤,禁止在上班时间访问1024以上端口。这里总结实现过滤的三要素:a、定义了acl规则。b、绑定了规则。c、开启了防火墙。

 

 

3、normal和special不同时生效

当我开启timerange enable后,发现内网用户不能上网了,后来注意到eth1中有

nat outbound 2001 address-group MYPOOL

查看acl 2001

 

rule normal permit source 10.100.10.0 0.0.0.255

 

当采用分时段过滤时,normal在非时间区域生效,special在时间区域生效,两者不会同时有效。所以增加

 

rule special permit source 10.100.10.0 0.0.0.255

 

 

 

4、出口限制的影响

当我在eth1的出口方向禁止访问1024以上端口后,发出外部用户无法访问内部web服务了。

当外部用户234.234.234.234访问时,路由器eth1出口方向有如下记录:

source 192.168.1.4 source-port 80 destination 234.234.234.234 destination-port 1592

当然destination-port很可能不是1592,但一定是大于1024的,所以据前面的规则,路由器会将返回给外部用户234.234.234.234的数据丢弃。

解决这个问题只需在acl 3000增加

 

rule special permit tcp source 192.168.1.4 0.0.0.0 destination any

你可能感兴趣的:(应用服务器,Web,防火墙,网络应用,华为)