ACL技巧

ACL技巧
 

nat outbound
【命令】

nat outbound acl-number [ address-group group-number [ no-pat ] ]

undo nat outbound acl-number [ address-group group-number [ no-pat ] ]

【视图】

接口视图

【参数】

address-group
:表示使用地址池的方式配置地址转换,如果不指定地址池,则直接使用该接口的IP地址作为转换后的地址,即easy ip特性。

no-pat
:表示使用一对一的地址转换,只转换数据包的地址而不使用端口信息。

acl-number
:访问控制列表的索引值,范围为20003999(可以使用高级ACL)。

group-number
:一个已经定义的地址池的编号。

【描述】

nat outbound
命令用来将一个访问控制列表ACL和一个地址池关联起来,表示acl-number中规定的地址可以使用地址池group-number进行地址转换,undo nat outbound命令用来删除相应的地址转换。

通过配置访问控制列表和地址池的关联,将符合访问控制列表中的数据报文的源地址进行地址转换,选用地址池中的某个地址或者直接使用接口的IP地址进行转换。可以在同一个接口上配置不同的地址转换关联。使用对应的undo命令可以将相应的地址转换关联删除。该接口一般情况应该是和ISP连接,是内部网络的出口。

该命令如果不带address-group参数,即使用nat outbound acl-number命令,则实现了easy-ip的特性,地址转换时,使用接口的IP地址作为转换后的地址,利用访问控制列表控制哪些地址可以进行地址转换。

当直接使用接口地址作为NAT转换后的公网地址时,若修改了接口地址应该首先使用reset nat session命令清除原NAT地址映射表项,然后再访问外部网络;否则就会出现原有NAT表项不能自动删除,也无法使用reset session命令删除的情况。

【举例】

#
允许10.110.10.0/24网段的主机进行地址转换,选用202.110.10.10 202.110.10.12之间的地址作为转换后的地址。假设Serial 0/0/0口连接ISP

[Quidway] acl number 2001

[Quidway-acl-basic-2001] rule permit source 10.110.10.0 0.0.0.255

[Quidway-acl-basic-2001] rule deny

#
配置地址池。

[Quidway] nat address-group 1 202.110.10.10 202.110.10.12

#
允许地址转换,使用地址池1中的地址进行地址转换。在转换的时候使用TCP/UDP的端口信息,使用如下配置。

[Quidway-Serial0/0/0] nat outbound 1 address-group 1

#
删除对应配置。

[Quidway-Serial0/0/0] undo outbound 1 address-group 1

#
如果使用一对一的地址转换(不使用TCP/UDP的端口信息进行地址转换),可以使用如下配置。

[Quidway-Serial0/0/0] nat outbound 1 address-group 1 no-pat

#
删除对应配置。

[Quidway-Serial0/0/0] undo nat outbound 1 address-group 1 no-pat

#
如果直接使用Serial 0/0/0口的IP地址,可以使用如下的配置。

[Quidway-Serial0/0/0] nat outbound 1

#
删除对应配置。

[Quidway-Serial0/0/0] undo nat outbound 1
111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111
下面有一些好东东,和你分享


acl number 100

ping

rule deny icmp source any destination any

用于控制Blaster蠕虫的传播

rule deny udp source any destination any destination-port eq 69

rule deny tcp source any destination any destination-port eq 4444

用于控制冲击波病毒的扫描和攻击

rule deny tcp source any destination any destination-port eq 135

rule deny udp source any destination any destination-port eq 135

rule deny udp source any destination any destination-port eq netbios-ns

rule deny udp source any destination any destination-port eq netbios-dgm

rule deny tcp source any destination any destination-port eq 139

rule deny udp source any destination any destination-port eq 139

rule deny tcp source any destination any destination-port eq 445

rule deny udp source any destination any destination-port eq 445

rule deny udp source any destination any destination-port eq 593

rule deny tcp source any destination any destination-port eq 593

用于控制振荡波的扫描和攻击

rule deny tcp source any destination any destination-port eq 445

rule deny tcp source any destination any destination-port eq 5554

rule deny tcp source any destination any destination-port eq 9995

rule deny tcp source any destination any destination-port eq 9996

用于控制 Worm_MSBlast.A 蠕虫的传播

rule deny udp source any destination any destination-port eq 1434

下面的不出名的病毒端口号 (可以不作)

rule deny tcp source any destination any destination-port eq 1068

rule deny tcp source any destination any destination-port eq 5800

rule deny tcp source any destination any destination-port eq 5900

rule deny tcp source any destination any destination-port eq 10080

rule deny tcp source any destination any destination-port eq 455

rule deny udp source any destination any destination-port eq 455

rule deny tcp source any destination any destination-port eq 3208

rule deny tcp source any destination any destination-port eq 1871

rule deny tcp source any destination any destination-port eq 4510

rule deny udp source any destination any destination-port eq 4334

rule deny tcp source any destination any destination-port eq 4331

rule deny tcp source any destination any destination-port eq 4557

然后下发配置

packet-filter ip-group 100

你可能感兴趣的:(ACL技巧)