Cisco ACL работает не так, как ожидалось

У меня есть клиент, которому я хочу запретить доступ, чтобы он не мог получить доступ к моему сетевому узлу. Это указанный порт, который он сканировал на моем сетевом хосте, который я хочу заблокировать (порт 137).

Используя NMAP, клиент может найти мой открытый порт на моем сетевом хосте (137). Поэтому я выполнил ACL на моем маршрутизаторе, используя команду.

access-list 111 deny udp (insert client ip) any eq 137
access-list 111 permit udp any any

То, что я хотел сделать, - убедиться, что в тот момент, когда клиент использует NMAP для сканирования моего сетевого хоста для порта, порт 137 будет фильтроваться вместо открытого из-за конфигурации ACL, однако клиент не может даже ping мой сетевой хост теперь если Я добавляю в ACL еще одну команду, permit ICMP any any.

Почему это так? Могут ли какие-либо эксперты пролить свет на это?

2 голоса | спросил Newbie 23 +03002015-10-23T09:42:50+03:00312015bEurope/MoscowFri, 23 Oct 2015 09:42:50 +0300 2015, 09:42:50

1 ответ


4

В конце каждого списка доступа есть неявный «отказ». Итак, ваш текущий список доступа на самом деле говорит:

access-list 111 deny udp (insert client ip) any eq 137
access-list 111 permit udp any any
access-list 111 deny ip any any

Это означает, что разрешен любой UDP-трафик (кроме клиента на порт 137), но все остальные трафик на этом интерфейсе (включая TCP и ICMP) удаляются. Что вы ищете, так это:

access-list 111 deny udp (insert client ip) any eq 137
access-list 111 permit ip any any
ответил RobinG 23 +03002015-10-23T10:42:57+03:00312015bEurope/MoscowFri, 23 Oct 2015 10:42:57 +0300 2015, 10:42:57

Похожие вопросы

Популярные теги

security × 330linux × 316macos × 2827 × 268performance × 244command-line × 241sql-server × 235joomla-3.x × 222java × 189c++ × 186windows × 180cisco × 168bash × 158c# × 142gmail × 139arduino-uno × 139javascript × 134ssh × 133seo × 132mysql × 132