部落冲突皮卡:ACL规则
来源:百度文库 编辑:九乡新闻网 时间:2024/05/01 10:46:06
ACL 是指根据协议类型、IP地址、端口等特征自定义防火墙规则,根据数据包传输的方向和对象不同,可以分为以下两种:
· 进入(Incoming)
数据包的最终目的地是路由,来源是外网IP或内网主机。
应用场合举例:禁止外网某些IP访问路由,比如要禁止 210.249.xx.xx 这个IP访问路由的Web管理。
· 转发(Forward)
数据包的最终目的地是内网主机或外网IP,来源是外网IP或内网主机。路由处于中间,对数据包进行转发。
应用场合举例:禁止内网访问外网的某些IP或端口,比如要禁止迅雷的 15000/UDP 下载端口。
主要参数格式说明:
· 源/目的IP
为空表示所有IP,有如下3种表示方法:
1. 单个IP,比如:192.168.0.1
2. IP网络,比如:192.168.0.0/24 或 192.168.0.0/255.255.255.0
3. IP地址段,比如:192.168.0.1-192.168.0.200
· 源/目的端口
为空表示所有端口,有如下3种表示方法:
4. 单个端口,比如:8080
5. 多个离散端口,比如:137,139,445
6. 连续端口,比如:80-8000 (80到8000之间的所有端口)
· 匹配动作
7. 通过:允许匹配的数据包通过
8. 丢弃:丢弃匹配到的数据包,不反馈任何错误信息
9. 拒绝:丢弃匹配到的数据包,并向发送者(源IP)反馈相关错误信息
10. 忽略:对来访的数据包不做任何处理,直接记录到日志,此动作必须配合 记录到日志 功能一起使用。
案例-1:内网用迅雷下载的人太多,影响网速,需要禁止掉迅雷的 15000/UDP 端口
案例-2:内网某主机中了“机器狗”病毒,经观察,发现其会定时访问一些外网IP,并下载病毒和木马程序,为了安全期间,需要禁止内网访问这些IP。这些IP是 218.30.64.194, 60.190.118.211, 58.221.254.103。
添加3条规则,每条规则的设置和下面类似,只是目的IP不同: