华为2600路由器配置
以前从未接触过网络设备配置,这一次也仅仅只是为现实需求,在网上查了些资料,再结合实践应用,将这一点点的经验作个备忘。
?
eth0内网接口,eth1公网接口,公网ip:123.123.123.123
?
1、端口映射
int eth1nat server global 123.123.123.123 www inside 192.168.1.4 www tcp
此时外网用户已可以通过公网IP访问,但内网用户只能用内网IP访问。貌似华为中低档路由都有这个问题。
?
?
2、分时段限制可访问端口
acl 3000rule special deny tcp source any destination any destination-port greater-than 1024rule special deny udp source any destination any destination-port greater-than 1024quitint eth1firewall packet-filter 3000 outboundquitsettr 08:00 11:30 14:00 17:30timerange enablefirewall enable
实现了出口包过滤,禁止在上班时间访问1024以上端口。这里总结实现过滤的三要素:a、定义了acl规则。b、绑定了规则。c、开启了防火墙。
?
?
3、normal和special不同时生效
当我开启timerange enable后,发现内网用户不能上网了,后来注意到eth1中有
nat outbound 2001 address-group MYPOOL
查看acl 2001
?
rule normal permit source 10.100.10.0 0.0.0.255
?
当采用分时段过滤时,normal在非时间区域生效,special在时间区域生效,两者不会同时有效。所以增加
?
rule special permit source 10.100.10.0 0.0.0.255
?
?
?
4、出口限制的影响
当我在eth1的出口方向禁止访问1024以上端口后,发出外部用户无法访问内部web服务了。
当外部用户234.234.234.234访问时,路由器eth1出口方向有如下记录:
source 192.168.1.4 source-port 80 destination 234.234.234.234 destination-port 1592
当然destination-port很可能不是1592,但一定是大于1024的,所以据前面的规则,路由器会将返回给外部用户234.234.234.234的数据丢弃。
解决这个问题只需在acl 3000增加
?
rule special permit tcp source 192.168.1.4 0.0.0.0 destination any
