路由操纵之CBAC

access-list 101 permit eigrp any any        放行eigrp
access-list 101 permit ip any host 30.1.1.2 让out可以去dmz
access-list 101 deny ip any any             禁止out访问其他网段（in）
int s0/1                                    与out相连接口
ip access-group 101 in                      in方向应用101

access-list 102 permit eigrp any any        放行eigrp
access-list 102 deny ip any any             禁止dmz主动访问out和in
int s0/2                                    与dmz相连接口
ip access-group 102 in                      in方向应用102

ip inspect name inttooutdmz tcp             cbca检测in出去到out和dmz的数据，自动产生高序列回包许可
int s0/0                                    与in相连接口
ip inspect intooutdmz in                    in方向应用intooutdmz

ip inspect name outtodmz tcp                cbca检测out到dmz的数据（因101禁止，故不会产生其他数据），自动产生高序列回包许可
int s0/1                                    与out相连接口
ip inspect outtodmz in                      in方向应用outtodmz

 

思路：
1.在dmz方向上禁止所有
2.在out方向上只打开到dmz一条通路，其他禁止所有
3.在out方向上挂一个inspcet，放行反向到out的流量
4.在in方向上挂一个inspcet，放行反向到in的流量

本文出自 “Scrat's Matsuko” 博客，转载请与作者联系！