ACL技巧
nat outbound 【命令】
nat outbound acl-number [ address-group group-number [ no-pat ] ]
undo nat outbound acl-number [ address-group group-number [ no-pat ] ]
【视图】
接口视图
【参数】
address-group:表示使用地址池的方式配置地址转换,如果不指定地址池,则直接使用该接口的IP地址作为转换后的地址,即easy ip特性。
no-pat:表示使用一对一的地址转换,只转换数据包的地址而不使用端口信息。
acl-number:访问控制列表的索引值,范围为2000~3999(可以使用高级ACL)。
group-number:一个已经定义的地址池的编号。
【描述】
nat outbound命令用来将一个访问控制列表ACL和一个地址池关联起来,表示acl-number中规定的地址可以使用地址池group-number进行地址转换,undo nat outbound命令用来删除相应的地址转换。
通过配置访问控制列表和地址池的关联,将符合访问控制列表中的数据报文的源地址进行地址转换,选用地址池中的某个地址或者直接使用接口的IP地址进行转换。可以在同一个接口上配置不同的地址转换关联。使用对应的undo命令可以将相应的地址转换关联删除。该接口一般情况应该是和ISP连接,是内部网络的出口。
该命令如果不带address-group参数,即使用nat outbound acl-number命令,则实现了easy-ip的特性,地址转换时,使用接口的IP地址作为转换后的地址,利用访问控制列表控制哪些地址可以进行地址转换。
当直接使用接口地址作为NAT转换后的公网地址时,若修改了接口地址应该首先使用reset nat session命令清除原NAT地址映射表项,然后再访问外部网络;否则就会出现原有NAT表项不能自动删除,也无法使用reset session命令删除的情况。
【举例】
# 允许10.110.10.0/24网段的主机进行地址转换,选用202.110.10.10 到202.110.10.12之间的地址作为转换后的地址。假设Serial 0/0/0口连接ISP。
[Quidway] acl number 2001
[Quidway-acl-basic-2001] rule permit source 10.110.10.0 0.0.0.255
[Quidway-acl-basic-2001] rule deny
# 配置地址池。
[Quidway] nat address-group 1 202.110.10.10 202.110.10.12
# 允许地址转换,使用地址池1中的地址进行地址转换。在转换的时候使用TCP/UDP的端口信息,使用如下配置。
[Quidway-Serial0/0/0] nat outbound 1 address-group 1
# 删除对应配置。
[Quidway-Serial0/0/0] undo outbound 1 address-group 1
# 如果使用一对一的地址转换(不使用TCP/UDP的端口信息进行地址转换),可以使用如下配置。
[Quidway-Serial0/0/0] nat outbound 1 address-group 1 no-pat
# 删除对应配置。
[Quidway-Serial0/0/0] undo nat outbound 1 address-group 1 no-pat
# 如果直接使用Serial 0/0/0口的IP地址,可以使用如下的配置。
[Quidway-Serial0/0/0] nat outbound 1
# 删除对应配置。
[Quidway-Serial0/0/0] undo nat outbound 1 111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111 下面有一些好东东,和你分享
acl number 100
禁ping
rule deny icmp source any destination any
用于控制Blaster蠕虫的传播
rule deny udp source any destination any destination-port eq 69
rule deny tcp source any destination any destination-port eq 4444
用于控制冲击波病毒的扫描和***
rule deny tcp source any destination any destination-port eq 135
rule deny udp source any destination any destination-port eq 135
rule deny udp source any destination any destination-port eq netbios-ns
rule deny udp source any destination any destination-port eq netbios-dgm
rule deny tcp source any destination any destination-port eq 139
rule deny udp source any destination any destination-port eq 139
rule deny tcp source any destination any destination-port eq 445
rule deny udp source any destination any destination-port eq 445
rule deny udp source any destination any destination-port eq 593
rule deny tcp source any destination any destination-port eq 593
用于控制振荡波的扫描和***
rule deny tcp source any destination any destination-port eq 445
rule deny tcp source any destination any destination-port eq 5554
rule deny tcp source any destination any destination-port eq 9995
rule deny tcp source any destination any destination-port eq 9996
用于控制 Worm_MSBlast.A 蠕虫的传播
rule deny udp source any destination any destination-port eq 1434
下面的不出名的病毒端口号 (可以不作)
rule deny tcp source any destination any destination-port eq 1068
rule deny tcp source any destination any destination-port eq 5800
rule deny tcp source any destination any destination-port eq 5900
rule deny tcp source any destination any destination-port eq 10080
rule deny tcp source any destination any destination-port eq 455
rule deny udp source any destination any destination-port eq 455
rule deny tcp source any destination any destination-port eq 3208
rule deny tcp source any destination any destination-port eq 1871
rule deny tcp source any destination any destination-port eq 4510
rule deny udp source any destination any destination-port eq 4334
rule deny tcp source any destination any destination-port eq 4331
rule deny tcp source any destination any destination-port eq 4557
然后下发配置
packet-filter ip-group 100
|
转载于:https://blog.51cto.com/lbamboo/891176