华为路由器配置 - 华为技术 - 51CTO技术论坛

社区导航: 专家门诊网络技术操作系统数据库程序设计系统应用考试认证 CIO及信息化站长交流综合交流下载基地 51CTO产品服务

【设为首页 | 收藏本站】

51CTO技术论坛» 华为技术 » 华为路由器配置 [ 打印] [ 订阅] [ 收藏] [ 推荐给朋友] [ 本帖文本页]

论坛跳转:

sam3000

新新人类

帖子 61
精华 0
无忧币 63
积分 89
阅读权限 20

注册日期 2007-7-16

最后登录 2008-4-9

离线

[查看资料] [发短消息] [Blog]

发表于:2007-8-3 16:33　　标题：华为路由器配置
＜上一帖 | 下一帖＞

公司要求除80，21，23等常用端口外，其他端口都封掉，请问应该如何配置？

[ 本帖最后由 sam3000 于 2007-8-9 16:56 编辑 ]

网络虽虚拟，技术无边界，来看看大家“真面目”！

2007-8-3 16:33

1楼

[ 顶部 ]

intelboy

主版主

帖子 3148
精华 3
无忧币 14845
积分 12609
阅读权限 150
来自 (保密)

注册日期 2006-6-12

最后登录 2008-6-18

离线

[查看资料] [发短消息] [Blog]

[个人主页]

发表于:2007-8-4 07:52　

做高级访问控制列表

To be or not to be.This is the question!

2007-8-4 07:52

2楼

[ 顶部 ]

abtcyd
新新人类

帖子 50
精华 0
无忧币 2
积分 53
阅读权限 20
来自 (保密)

注册日期 2006-6-15

最后登录 2007-12-11

离线

[查看资料] [发短消息] [Blog]

发表于:2007-8-4 16:40　

ACL吧，把80，21，23开放，其它的都DENY掉

网络虽虚拟，技术无边界，来看看大家“真面目”！

2007-8-4 16:40

3楼

[ 顶部 ]

sam3000

新新人类

帖子 61
精华 0
无忧币 63
积分 89
阅读权限 20

注册日期 2007-7-16

最后登录 2008-4-9

离线

[查看资料] [发短消息] [Blog]

发表于:2007-8-5 14:10　

具体应该如何做？我这样试了一下：
ACL 3001
rule 1 permit tcp destination-port eq www
rule 2 permit tcp destination-port eq 443
rule 3 permit tcp destination-port eq 1723
rule 4 permit tcp destination-port eq ftp
rule 5 permit tcp destination-port eq smtp
rule 6 permit tcp destination-port eq pop3
rule 7 permit tcp destination-port eq 4000
rule 8 permit tcp destination-port eq 8000
rule 9 permit gre
rule 10 permit icmp
rule 11 deny ip
这样的话上面那些开放的端口也出不去了

网络虽虚拟，技术无边界，来看看大家“真面目”！

2007-8-5 14:10

4楼

[ 顶部 ]

intelboy

主版主

帖子 3148
精华 3
无忧币 14845
积分 12609
阅读权限 150
来自 (保密)

注册日期 2006-6-12

最后登录 2008-6-18

离线

[查看资料] [发短消息] [Blog]

[个人主页]

发表于:2007-8-5 19:37　

将规则改成如下的试试看
rule 1 permit tcp source any destination any destination-port eq www
以下雷同
...........

To be or not to be.This is the question!

2007-8-5 19:37

5楼

[ 顶部 ]

sam3000

新新人类

帖子 61
精华 0
无忧币 63
积分 89
阅读权限 20

注册日期 2007-7-16

最后登录 2008-4-9

离线

[查看资料] [发短消息] [Blog]

发表于:2007-8-7 08:49　

是的，我写的时候就是按楼上的语法写的，但display出来显示的就是rule 1 permit tcp destination-port eq www 这样

网络虽虚拟，技术无边界，来看看大家“真面目”！

2007-8-7 08:49

6楼

[ 顶部 ]

lizhiwei066 性别:男

技术员

帖子 255
精华 0
无忧币 1868
积分 714
阅读权限 30
来自 (保密)

注册日期 2006-10-13

最后登录 2008-9-2

离线

[查看资料] [发短消息] [Blog]

[个人主页]

发表于:2007-8-7 09:12　

rule 11 deny ip
这个不对，因为网络层IP协议是为上层提供服务的，如果连底层协议都deny了，上面肯定不通呀

网络虽虚拟，技术无边界，来看看大家“真面目”！

2007-8-7 09:12

7楼

[ 顶部 ]

sam3000

新新人类

帖子 61
精华 0
无忧币 63
积分 89
阅读权限 20

注册日期 2007-7-16

最后登录 2008-4-9

离线

[查看资料] [发短消息] [Blog]

发表于:2007-8-8 10:37　

现在把不用的端口一个个封掉，有个问题，80端口明明开放了，网页可以打开，但只能打开主页，想新浪主页能打开，但里面的链接都点不开，其他网站也是这样，子页面都打不开。ping新浪DNS也能解析出来，奇怪

网络虽虚拟，技术无边界，来看看大家“真面目”！

2007-8-8 10:37

8楼

[ 顶部 ]

sam3000

新新人类

帖子 61
精华 0
无忧币 63
积分 89
阅读权限 20

注册日期 2007-7-16

最后登录 2008-4-9

离线

[查看资料] [发短消息] [Blog]

发表于:2007-8-9 14:17　

解决了，是按地址段做的，公司分192.168.0.0和192.168.1.0两段，每次只能应用一个地址段的acl，两段地址写在一起也是不行，莫非是子地址闹的？以下是详细配置
version 5.20, Beta 1203, Basic
#
sysname H3C
#
configure-user count 2
#
info-center logfile size-quota 0
#
firewall enable
#
domain default enable system
#
telnet server enable
#
dot1x
#
vlan 1
#
acl number 2000
rule 0 permit source 192.168.0.0 0.0.0.255
rule 5 permit source 192.168.1.0 0.0.0.255
#
acl number 3000
rule 1 deny tcp destination-port eq 4444
rule 2 deny udp destination-port eq 135
rule 3 deny tcp destination-port eq 135
rule 4 deny tcp destination-port eq 139
rule 5 deny tcp destination-port eq 445
rule 6 deny udp destination-port eq 445
rule 7 deny tcp destination-port eq 593
rule 8 deny udp destination-port eq 1434
rule 9 deny tcp destination-port eq 5554
rule 10 deny tcp destination-port eq 9995
rule 11 deny tcp destination-port eq 9996
rule 12 deny tcp destination-port eq 1068
rule 13 deny tcp destination-port eq 5800
rule 14 deny tcp destination-port eq 5900
rule 15 deny tcp destination-port eq 10080
rule 16 deny tcp destination-port eq 3208
rule 17 deny tcp destination-port eq 1871
rule 18 deny tcp destination-port eq 4510
rule 19 deny tcp destination-port eq 4331
rule 20 deny tcp destination-port eq 4557
acl number 3001
rule 0 deny tcp source 192.168.0.0 0.0.0.255 destination-port range 1 ftp-data
rule 5 deny tcp source 192.168.0.0 0.0.0.255 destination-port range 26 52
rule 10 deny tcp source 192.168.0.0 0.0.0.255 destination-port range 54 finger
rule 15 deny tcp source 192.168.0.0 0.0.0.255 destination-port range 81 108
rule 20 deny tcp source 192.168.0.0 0.0.0.255 destination-port range sunrpc 442
rule 25 deny tcp source 192.168.0.0 0.0.0.255 destination-port range 444 568
rule 30 deny tcp source 192.168.0.0 0.0.0.255 destination-port range 570 1502
rule 35 deny tcp source 192.168.0.0 0.0.0.255 destination-port range 1504 1718
rule 40 deny tcp source 192.168.0.0 0.0.0.255 destination-port range 1724 1862
rule 45 deny tcp source 192.168.0.0 0.0.0.255 destination-port range 1864 4999
rule 50 deny tcp source 192.168.0.0 0.0.0.255 destination-port range 5062 6890
rule 55 deny tcp source 192.168.0.0 0.0.0.255 destination-port range 6901 7000
rule 60 deny tcp source 192.168.0.0 0.0.0.255 destination-port range 7002 8079
rule 65 deny tcp source 192.168.0.0 0.0.0.255 destination-port range 8081 29999
rule 70 deny tcp source 192.168.0.0 0.0.0.255 destination-port gt 30004
rule 75 deny udp source 192.168.0.0 0.0.0.255 destination-port range 1 8
rule 80 deny udp source 192.168.0.0 0.0.0.255 destination-port range 11 1024
rule 85 deny udp source 192.168.0.0 0.0.0.255 destination-port range 1026 3999
rule 90 deny udp source 192.168.0.0 0.0.0.255 destination-port range 4001 4999
rule 95 deny udp source 192.168.0.0 0.0.0.255 destination-port range 5062 7000
rule 100 deny udp source 192.168.0.0 0.0.0.255 destination-port range 7002 7999
rule 105 deny udp source 192.168.0.0 0.0.0.255 destination-port range 8001 29999
rule 110 deny udp source 192.168.0.0 0.0.0.255 destination-port gt 30004
acl number 3002
rule 0 deny tcp source 192.168.1.0 0.0.0.255 destination-port range 1 ftp-data
rule 5 deny tcp source 192.168.1.0 0.0.0.255 destination-port range 26 52
rule 10 deny tcp source 192.168.1.0 0.0.0.255 destination-port range 54 finger
rule 15 deny tcp source 192.168.1.0 0.0.0.255 destination-port range 81 108
rule 20 deny tcp source 192.168.1.0 0.0.0.255 destination-port range sunrpc 442
rule 25 deny tcp source 192.168.1.0 0.0.0.255 destination-port range 444 568
rule 30 deny tcp source 192.168.1.0 0.0.0.255 destination-port range 570 1502
rule 35 deny tcp source 192.168.1.0 0.0.0.255 destination-port range 1504 1718
rule 40 deny tcp source 192.168.1.0 0.0.0.255 destination-port range 1724 1862
rule 45 deny tcp source 192.168.1.0 0.0.0.255 destination-port range 1864 4999
rule 50 deny tcp source 192.168.1.0 0.0.0.255 destination-port range 5062 6890
rule 55 deny tcp source 192.168.1.0 0.0.0.255 destination-port range 6901 7000
rule 60 deny tcp source 192.168.1.0 0.0.0.255 destination-port range 7002 8079
rule 65 deny tcp source 192.168.1.0 0.0.0.255 destination-port range 8081 29999
rule 70 deny tcp source 192.168.1.0 0.0.0.255 destination-port gt 30004
rule 75 deny udp source 192.168.1.0 0.0.0.255 destination-port range 1 8
rule 80 deny udp source 192.168.1.0 0.0.0.255 destination-port range 11 1024
rule 85 deny udp source 192.168.1.0 0.0.0.255 destination-port range 1026 3999
rule 90 deny udp source 192.168.1.0 0.0.0.255 destination-port range 4001 4999
rule 95 deny udp source 192.168.1.0 0.0.0.255 destination-port range 5062 7000
rule 100 deny udp source 192.168.1.0 0.0.0.255 destination-port range 7002 7999
rule 105 deny udp source 192.168.1.0 0.0.0.255 destination-port range 8001 29999
rule 110 deny udp source 192.168.1.0 0.0.0.255 destination-port gt 30004
rule 115 permit ip source 192.168.0.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
rule 120 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.0.0 0.0.0.255
acl number 3003
rule 0 permit ip source 192.168.0.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
rule 5 permit ip source 192.168.1.0 0.0.0.255
#
interface Aux0
async mode flow
link-protocol ppp
#
interface Ethernet0/0
port link-mode route
firewall packet-filter 3003 inbound
ip address 192.168.1.254 255.255.255.0
ip address 192.168.0.254 255.255.255.0 sub
#
interface Ethernet0/1
port link-mode route
firewall packet-filter 3000 inbound
firewall packet-filter 3002 outbound
nat outbound 2000
nat server protocol tcp global 219.239.xxx.xxx www inside 192.168.1.4 www
nat server protocol tcp global 219.239.xxx.xxx 5222 inside 192.168.1.4 5222
nat server protocol tcp global 219.239.xxx.xxx telnet inside 192.168.1.4 telnet
nat server protocol tcp global 219.239.xxx.xxx telnet inside 192.168.1.4 24
nat server protocol tcp global 219.239.xxx.xxx pptp inside 192.168.1.3 pptp
nat server protocol 47 global 219.239.xxx.xxx inside 192.168.1.3
nat server protocol tcp global 219.239.xxx.xxx www inside 192.168.1.4 8088
ip address 219.239.xxx.xxx 255.255.255.248
ip address 219.239.xxx.xxx 255.255.255.248 sub
ip address 219.239.xxx.xxx 255.255.255.248 sub
#
ip route-static 0.0.0.0 0.0.0.0 219.239.xxx.xxx

网络虽虚拟，技术无边界，来看看大家“真面目”！

2007-8-9 14:17

9楼

[ 顶部 ]

kid822

助理工程师