ACL技巧

ACL技巧

 

nat outbound 【命令】 nat outbound acl-number [ address-group group-number [ no-pat ] ] undo nat outbound acl-number [ address-group group-number [ no-pat ] ] 【视图】 接口视图 【参数】 address-group：表示使用地址池的方式配置地址转换，如果不指定地址池，则直接使用该接口的IP地址作为转换后的地址，即easy ip特性。 no-pat：表示使用一对一的地址转换，只转换数据包的地址而不使用端口信息。 acl-number：访问控制列表的索引值，范围为2000～3999（可以使用高级ACL）。 group-number：一个已经定义的地址池的编号。 【描述】 nat outbound命令用来将一个访问控制列表ACL和一个地址池关联起来，表示acl-number中规定的地址可以使用地址池group-number进行地址转换，undo nat outbound命令用来删除相应的地址转换。 通过配置访问控制列表和地址池的关联，将符合访问控制列表中的数据报文的源地址进行地址转换，选用地址池中的某个地址或者直接使用接口的IP地址进行转换。可以在同一个接口上配置不同的地址转换关联。使用对应的undo命令可以将相应的地址转换关联删除。该接口一般情况应该是和ISP连接，是内部网络的出口。 该命令如果不带address-group参数，即使用nat outbound acl-number命令，则实现了easy-ip的特性，地址转换时，使用接口的IP地址作为转换后的地址，利用访问控制列表控制哪些地址可以进行地址转换。 当直接使用接口地址作为NAT转换后的公网地址时，若修改了接口地址应该首先使用reset nat session命令清除原NAT地址映射表项，然后再访问外部网络；否则就会出现原有NAT表项不能自动删除，也无法使用reset session命令删除的情况。 【举例】 # 允许10.110.10.0/24网段的主机进行地址转换，选用202.110.10.10 到202.110.10.12之间的地址作为转换后的地址。假设Serial 0/0/0口连接ISP。 [Quidway] acl number 2001 [Quidway-acl-basic-2001] rule permit source 10.110.10.0 0.0.0.255 [Quidway-acl-basic-2001] rule deny # 配置地址池。 [Quidway] nat address-group 1 202.110.10.10 202.110.10.12 # 允许地址转换，使用地址池1中的地址进行地址转换。在转换的时候使用TCP/UDP的端口信息，使用如下配置。 [Quidway-Serial0/0/0] nat outbound 1 address-group 1 # 删除对应配置。 [Quidway-Serial0/0/0] undo outbound 1 address-group 1 # 如果使用一对一的地址转换（不使用TCP/UDP的端口信息进行地址转换），可以使用如下配置。 [Quidway-Serial0/0/0] nat outbound 1 address-group 1 no-pat # 删除对应配置。 [Quidway-Serial0/0/0] undo nat outbound 1 address-group 1 no-pat # 如果直接使用Serial 0/0/0口的IP地址，可以使用如下的配置。 [Quidway-Serial0/0/0] nat outbound 1 # 删除对应配置。 [Quidway-Serial0/0/0] undo nat outbound 1 111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111 下面有一些好东东，和你分享 acl number 100 禁ping rule deny icmp source any destination any 用于控制Blaster蠕虫的传播 rule deny udp source any destination any destination-port eq 69 rule deny tcp source any destination any destination-port eq 4444 用于控制冲击波病毒的扫描和攻击 rule deny tcp source any destination any destination-port eq 135 rule deny udp source any destination any destination-port eq 135 rule deny udp source any destination any destination-port eq netbios-ns rule deny udp source any destination any destination-port eq netbios-dgm rule deny tcp source any destination any destination-port eq 139 rule deny udp source any destination any destination-port eq 139 rule deny tcp source any destination any destination-port eq 445 rule deny udp source any destination any destination-port eq 445 rule deny udp source any destination any destination-port eq 593 rule deny tcp source any destination any destination-port eq 593 用于控制振荡波的扫描和攻击 rule deny tcp source any destination any destination-port eq 445 rule deny tcp source any destination any destination-port eq 5554 rule deny tcp source any destination any destination-port eq 9995 rule deny tcp source any destination any destination-port eq 9996 用于控制 Worm_MSBlast.A 蠕虫的传播 rule deny udp source any destination any destination-port eq 1434 下面的不出名的病毒端口号 （可以不作） rule deny tcp source any destination any destination-port eq 1068 rule deny tcp source any destination any destination-port eq 5800 rule deny tcp source any destination any destination-port eq 5900 rule deny tcp source any destination any destination-port eq 10080 rule deny tcp source any destination any destination-port eq 455 rule deny udp source any destination any destination-port eq 455 rule deny tcp source any destination any destination-port eq 3208 rule deny tcp source any destination any destination-port eq 1871 rule deny tcp source any destination any destination-port eq 4510 rule deny udp source any destination any destination-port eq 4334 rule deny tcp source any destination any destination-port eq 4331 rule deny tcp source any destination any destination-port eq 4557 然后下发配置 packet-filter ip-group 100