您现在的位置 : 路由人 > 路由器设置 > 正文 IP地址冲突 路由人教你更换IP地址 / 如何防蹭网的终极解决办法 / 连接上192.168.1.1没有账号、密码输入框 /

迅捷路由器自反访问控制列表

所谓的自反访问列表,英文名为Reflexive Access Lists,自反访问列表会根据一个方向的访问控制列表,自动创建出一个反方向的控制列表,是和原来的控制列表-IP的源地址和目的地址颠倒,并且源端口号和目的端口...

所谓的自反访问列表,英文名为Reflexive Access Lists,自反访问列表会根据一个方向的访问控制列表,自动创建出一个反方向的控制列表,是和原来的控制列表-IP的源地址和目的地址颠倒,并且源端口号和目的端口号完全相反的一个列表,并且还有一定的时间限制,超时后,这个新创建的列表就会消失,大大增加了安全性。

一、简单示例

ip access-list extended abc

deny icmp any 192.168.1.0 0.0.0.255 

permit ip any any 

exit 

int s0/0 

ip access-group abc in

上述是禁止外网去ping内网的192.168.1.0/24这个网段,这时如果你想从192.168.1.1去ping外网也是ping不通的,因为通信都是双向的,限制住一面的流量就都不通了。

二、自反ACL

ip access-list extended refin

permit ospf any any

evaluate abc

exit

ip access-list extended refout

permit ip any any reflect abc

exit

int s0/0

ip access-group refin in

ip access-group rofut out

exit

ip reflexive-list timeout 60

1、在接口的in方向上只允许了一个ospf协议,其他访问都禁止了,也就是不允许外网访问内网,evaluate abc嵌套了一个反射ACL,名称为abc。

2、在接口的out方向上,允许所有的访问,可以出去但是回不来,所以在permit ip any any 后加上了一个reflect abc,此时任何从内网发起的流量如果它匹配这条permit ip any any reflect abc语句的话,则自动在refin的列表中创建一条动态的permit语句。

3、自反ACL一直是permit的,ip reflexive-list timeout 60 设置的是反射出来的条目的有效时间。

以上就是今天要给大家介绍的自反访问控制列表,希望对大家有所帮助。

延伸阅读:
  • 本月热点
  • 随机推荐
路由人提示:如需转载本站无线连接及路由器设置等技术文章请您注明出处,谢谢!
Copyright © www.LuYouRen.com, All Rights Reserved.
  苏ICP备12075116号