防火墙技术 自反ACL

 

自反ACL

拓扑以及地址规划

 

 

Ping 通截图

 

 

1. 配置拒绝外网主动访问内网

配置允许ICMP可以不用标记就进入内网，其它的必须被标记才返回

r1(config)#ip access-list extended come

r1(config-ext-nacl)#permit icmp any any    被允许的ICMP是不用标记即可进入内网的

r1(config-ext-nacl)#evaluate abc                其它要进入内网的，必须是标记为abc的

r1(config)#int f0/1

r1(config-if)#ip access-group come in

测试外网R4的ICMP访问内网以及外网R4 telnet内网

 

ICMP可进入内网  Telnet不能进入内网

测试内网R3的ICMP访问外网以及内网R3发起telnet到外网

 

1. 配置内网向外网发起的telnet被返回

配置内网出去，telnet被记录为abc,将会被允许返回

r1(config)#ip access-list extended  goto

r1(config-ext-nacl)#permit tcp any any eq telnet reflect abc timeout 60   telnet已记为abc

r1(config-ext-nacl)#permit ip any any  

r1(config)#int f0/1

r1(config-if)#ip access-group goto out

测试R3到外网的ICMP以及内网向外网发起telnet

 

查看ACL

Show ip access-lists

 

可知abc的ACL为允许外网到内网的telnet，正是由于内网发到外网的telnet被标记了，所以也自动产生了允许其返回的ACL，并且后面跟有剩余时间。