每次檢查路由器日志時,都會有一些嘗試登錄路由器的日志信息,而且設備本身無法更改telnet端口,禁ping功能也未找到,所以自己研究了一下acl訪問控制,以下是我的配置,遇到相同問題的朋友可以借鑒一下,互相學習。
1、開啟包過濾防火牆
[H3C]firewall enable
2、創建擴展acl表
這里以外網ip 10.0.0.1 ,禁止(telnet)23端口為例,在寫到deny的時候使用 "?",可以查看命令,自行選擇使用哪種協議和端口
[H3C]acl number 3000
[H3C-acl-adv-3000]rule 0 permit tcp source 允許通過的IP 0 destination 10.0.0.1 0 destination-port eq telnet
允許指定的IP以telnet方式訪問設備外網接口IP 10.0.0.1
[H3C-acl-adv-3000]rule 1 permit icmp source 允許通過的IP 0 destination 10.0.0.1 0
允許指定的IP ping設備外網接口IP 10.0.0.1
[H3C-acl-adv-3000]rule 10 deny tcp source any destination 10.0.0.1 0 destination-port eq telnet
拒絕所有協議以telnet方式訪問設備外網接口IP 10.0.0.1
[H3C-acl-adv-3000]rule 11 deny icmp source any destination 10.0.0.1 0
拒絕所有IP ping設備外網接口IP 10.0.0.1
如果沒有要允許的IP,可以忽略rule 0 和rule 1直接deny就可以了,這里的icmp是禁ping作用,若不需要也可忽略。
3、在接口使能
這里以e0/0為設備的外網接口
[H3C]int e0/0
[H3C-Ethernet0/0]firewall packet-filter 3000 inbound