每次检查路由器日志时,都会有一些尝试登录路由器的日志信息,而且设备本身无法更改telnet端口,禁ping功能也未找到,所以自己研究了一下acl访问控制,以下是我的配置,遇到相同问题的朋友可以借鉴一下,互相学习。
1、开启包过滤防火墙
[H3C]firewall enable
2、创建扩展acl表
这里以外网ip 10.0.0.1 ,禁止(telnet)23端口为例,在写到deny的时候使用 "?",可以查看命令,自行选择使用哪种协议和端口
[H3C]acl number 3000
[H3C-acl-adv-3000]rule 0 permit tcp source 允许通过的IP 0 destination 10.0.0.1 0 destination-port eq telnet
允许指定的IP以telnet方式访问设备外网接口IP 10.0.0.1
[H3C-acl-adv-3000]rule 1 permit icmp source 允许通过的IP 0 destination 10.0.0.1 0
允许指定的IP ping设备外网接口IP 10.0.0.1
[H3C-acl-adv-3000]rule 10 deny tcp source any destination 10.0.0.1 0 destination-port eq telnet
拒绝所有协议以telnet方式访问设备外网接口IP 10.0.0.1
[H3C-acl-adv-3000]rule 11 deny icmp source any destination 10.0.0.1 0
拒绝所有IP ping设备外网接口IP 10.0.0.1
如果没有要允许的IP,可以忽略rule 0 和rule 1直接deny就可以了,这里的icmp是禁ping作用,若不需要也可忽略。
3、在接口使能
这里以e0/0为设备的外网接口
[H3C]int e0/0
[H3C-Ethernet0/0]firewall packet-filter 3000 inbound