acl過濾埠號

『壹』 在acl中怎麼將應用在埠的命令撤消

進介面下，
no ip access-group 100 out

『貳』 路由器設置acl的時候為什麼能夠解析四層的埠號

說明某些路由器跨三層了

『叄』 目的埠做限制，源埠不限制 是擴展訪問ACL 做么

如tp-link路由器配置指南 對路由器進行基本配置，使電腦通過路由器實現共享上網， 過程相對來說比較容易實現；這篇文檔下面的內容， 主要講述如下幾部分： 1， 收集並判斷信息，為配置路由器做准備； 2， 進入路由器管理界面，對路由器進行配置； 3， 配置過程簡單的故障定位排除； 讓我們快快開始，進入正題！ 1， 置路由器前的准備工作（如果你對你自己的連接方式清楚， 可以直接跳到第2點） 第一個需要確認的就是您的「寬頻接入方式」是怎樣的？ 當然，最簡捷的辦法就是給您的ISP（互聯網服務提供商） 打個電話咨詢一下； 也可以通過您購買路由器以前的網路連接方式進行快速判斷。 常見的硬體連接方式有下面幾種： 1， 電話線 —> ADSL MODEM —> 電腦 2，雙絞線（乙太網線）—> 電腦 3，有線電視（同軸電纜）—> Cable MODEM —> 電腦 4，光纖 —> 光電轉換器 —> 代理伺服器 —> PC ADSL / VDSL PPPoE ： 電腦上運行第三方撥號軟體如Enternet300或WinXP 系統自帶的撥號程序，填入ISP提供的賬號和密碼， 每次上網前先要撥號； 或者您的ADSL MODEM 已啟用路由功能，填入了ISP提供的賬號和密碼，撥號的動作交給 MODEM 去做；（這種寬頻接入方式典型的比如南方電信提供的「 網路快車 」） 靜態IP ：ISP提供給您固定的IP地址、子網掩碼、默認網關、DNS ； 動態IP ：電腦的TCP/IP屬性設置為「自動獲取IP地址」， 每次啟動電腦即可上網；（這種寬頻接入方式典型的比如深圳「 天威視訊」） 802.1X+靜態IP ：ISP提供固定的IP地址，專用撥號軟體，賬號和密碼 ； 802.1X+動態IP ：ISP提供專用撥號軟體，賬號和密碼 ； WEB認證 ：每次上網之前，打開IE瀏覽器，先去ISP指定的主頁， 填入ISP提供的用戶名密碼， 通過認證以後才可以進行其他得上網操作； （上面的黑體字就是您的寬頻接入方式， 接入方式和硬體連接方式並不是固定搭配的） 上面提到的這些連接認證方式只是普及率比較高的一些寬頻接入方式 ，當然還會有其他的拓撲連接以及認證方式的存在；所以， 當您不能肯定自己的寬頻方式的時候，最好向ISP咨詢： 自己裝的寬頻接入，IP地址是靜態的還是動態的？ 認證使用的協議是PPPoE、802.1X還是WEB認證？ 當上面的兩個問題有了答案，就可以對路由器進行配置了； 2， 怎樣進入路由器管理界面？ 先參照《用戶手冊》上面的圖示，將ADSL MODEM、路由器、電腦連結起來； TL-R4XX系列路由器的管理地址出廠默認：IP地址： 192. 168. 1. 1 ，子網掩碼：255. 255. 255. 0 （TL-R400 和TL-R400+ 兩款的管理地址默認為：192. 168. 123. 254 ，子網掩碼：255. 255. 255. 0）用網線將路由器LAN口和電腦網卡連接好， 因為路由器上的乙太網口具有極性自動翻轉功能， 所以無論您的網線採用直連線或交叉線都可以， 需要保證的是網線水晶頭的製作牢靠穩固，水晶頭銅片沒有生銹等。 電腦桌面上右鍵點擊「網上鄰居」，選擇「屬性」， 在彈出的窗口中雙擊打開「本地連接」，在彈出的窗口中點擊「 屬性」，然後找尋「Internet協議（TCP/IP）」， 雙擊彈出「Internet協議（TCP/IP）屬性」窗口； 在這個窗口中選擇「使用下面的IP地址」， 然後在對應的位置填入： IP地址 ：192. 168. 1. X（X范圍2-254）、 子網掩碼：255. 255. 255. 0 、 默認網關：192. 168. 1. 1 ，填完以後「確定」兩次即可； 「Internet協議（TCP/IP）屬性」窗口如下： 3，檢查電腦和路由器能不能通訊？ 可採用如下辦法查看，打開電腦的DOS界面： 「開始」—>「程序」，點擊「MS-DOS」 （Win98操作系統） 「開始」—>「程序」—「附件」，點擊「命令提示符」 （Win2000/XP操作系統） 一是檢查上面的IP地址配置是否生效？ 在DOS窗口輸入：ipconfig/all 並回車，當看到類似如下信息，表示配置生效 ， IP Address . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . : 192. 168. 1. 10 Subnet Mast . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .: 255. 255. 255. 0 Default Gateway. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . : 192. 168. 1. 1 二是從電腦往路由器LAN口發送數據包，看數據包能不能返回？ 在DOS窗口運行： ping 192. 168. 1. 1 –t 並回車，如果出現如下類似信息， Reply from 192. 168. 1. 1 : bytes=32 time<10ms TTL=128 Reply from 192. 168. 1. 1 : bytes=32 time<10ms TTL=128 Reply from 192. 168. 1. 1 : bytes=32 time<10ms TTL=128 如果回車後沒有出現上面的信息，確提示輸入的命令「 不是內部命令或外部命令，也不是可運行的程序或批處理程序」， 則說明命令輸入有誤，請檢查空格之類的輸入是否被忽略； 4，進入路由器管理界面；出現上圖的信息， 表示電腦可以和路由器通訊了，打開IE瀏覽器，在地址欄輸入 192. 168. 1. 1 並回車，正常情況下會出現要求輸入用戶名和密碼的對話框。當然， 也有例外情況： 如果打開IE瀏覽器地址欄輸入地址回車，彈出「離線工作」 的對話框，點即「連接」後出現撥號的小窗口， 請點擊IE瀏覽器菜單欄的「工具」—「Internet選項」， 在彈出的對話框內點擊「連接」屬性頁，界面如下圖： 進行了上面的操作， 應該說進入路由器管理界面應該沒有什麼障礙了； 5，開始配置路由器；有了剛開始時對寬頻接入方式的信息准備， 配置起來方便多了；剛進入路由器管理界面，會彈出一個類似下圖「 設置向導」界面，可以取消不理它； 進入路由器管理界面，在左列菜單欄中點擊「網路參數」—>「 WAN口設置」， 就在這里配置路由器面向Internet方向的WAN口的工作模 式，這是最關鍵的一步； 假設您的寬頻接入方式為 ADSL PPPoE ，那就選擇「WAN口連接類型」為「PPPoE」，填入「 上網賬號」 、「上網口令」，如果您是包月用戶，再選擇連接模式為：「 自動連接」，點擊「保存」即完成配置；保存完後「上網口令」 框內填入的密碼會多出幾位，這是路由器為了安全起見專門做的； 然後您點擊管理界面左列的「運行狀態」，在運行狀態頁面「 WAN口屬性」， 剛開始看不到對應的IP地址子網掩碼默認網關DNS伺服器等地址 ，就好像下面的這幅圖，那說明路由器正在撥號過程中， 等到這些地址都出現了相應的信息後， 將其中的DNS伺服器地址填入電腦「Internet協議（ TCP/IP）」頁面對應位置確定後，基本的設置就完成了， 沒有大礙的話可以沖浪了！ 正常情況下一兩分鍾內，上圖橢圓形部分會出現一系列地址， 表明撥號成功； 6，故障情況列舉； 如果上圖橢圓形區域一直都沒有變，看不到任何地址， 有下面幾種原因導致，請逐一排除： 1） ADSL MODEM上一般都會有一個ADSL燈， 正常情況下MODEM加電並接好電話線後， 這個燈會大致規律性地快慢閃爍，閃爍最終停止變為長亮； 如果這個燈無休止的閃啊閃就是不長亮， 請聯系並告知ISP您的ADSL MODEM同局端的交換機不能同步，這個ADSL/ DSL燈長亮的條件，是必須的； 2） 在配置過程中填入「上網口令」的時候不小心輸錯， 不妨重新輸入一遍； 3） ADSL MODEM 啟用了「路由模式」， 需要將ADSL MDOEM復位成「橋接模式」； 怎麼復位到橋接模式可以和MODEM廠家聯系取得操作方法； 也可以這樣判斷：電腦接MODEM，並且在電腦上撥號， 撥號成功以後可以上網，如果是這種情況的話， 則說明MODEM的工作方式是橋接模式，可以排除這一可能性； 4） ISP將電腦網卡的MAC地址幫定到了ADSL線路上； 解決的辦法就是使用路由器的「MAC地址克隆」功能， 將網卡的MAC地址復制到路由器的WAN口； 如果上面的可能性都排除了，ADSL PPPoE撥號一般就沒什麼問題了， 下面列舉的是另2個值得關注的故障原因； 5） 您的寬頻接入方式是那種乙太網線直接引入， 不是ADSL但同樣需要撥號，撥號的軟體不局限於一種， 認證使用的協議也是PPPoE，但就是撥號成功不了； 如果ISP承諾帶寬是10Mbps ，建議：找個10/100M自適應的集線器， 將寬頻進線接在集線器上，然後再連結集線器到路由器WAN口； 經過這樣一個速率適配的過程，撥號應該沒有問題的； 6） 購買路由器前，您也是通過電腦運行撥號軟體， 填入用戶名口令撥號。但撥號軟體是ISP提供的專用軟體， 別的軟體撥號是成功不了的；如果是這種情況， 請聯系ISP咨詢一下：您的寬頻接入，認證使用的協議是802. 1X 嗎？如果是的，有種可能是認證系統在開發過程中加入私有信息， 導致路由器撥號失敗； 7，其他配置 1） 安全設置 當可以正常上網了，可能出於不同的原因， 您想要對內部區域網的電腦上網操作，開放不同的許可權， 比如只允許登錄某些網站、只能收發E-mail、一部分有限制、 一部分不限制；用戶在這方面需求差異較大， 有些通過路由器可以實現，有些用路由器是沒辦法完全實現的， 比如「IP地址和網卡地址綁定」這個功能，路由器不能完全做到； 我們上網的操作，其實質是電腦不斷發送請求數據包， 這些請求數據包必然包含一些參數比如：源IP、目的IP、 源埠、目的埠等等；路由器正是通過對這些參數的限制， 來達到控制內部區域網的電腦不同上網許可權的目的； 下面我們會列舉具有代表性的配置舉例，來說明路由器「 防火牆設置」、「IP地址過濾」這些功能是怎樣使用的？ 列舉的事例以及上面紅字部分的解釋， 都是為了幫助您盡可能理解各個功能參數的含義， 只有理解了參數的含義，您才可以隨心所欲的配置過濾規則， 迅速實現您預期的目的， 而不會因為配置錯誤導致不能使用這些功能， 也不會因為由於得不到及時的技術支持而耽誤您的應用； 上圖是「防火牆設置」頁面，可以看到這是一個總開關的設置頁面， 凡是沒有使用的功能，就請不要在它前面打鉤選中； 除了總開關，再有就是兩個過濾功能「預設過濾規則」的確定， 何謂預設過濾規則？我們在具體規則設置頁面里， 定義一些特定的規則，對符合條件的數據包進行控制處理， 而這兒的「預設規則」顧名思義， 限定的是我們定製的規則中沒有涉及到不符合的數據包該怎麼辦？ 這個應該不難理解吧； 一個數據包，要嗎符合我們設定的規則， 要嗎不符合我們設定的規則但同時必定符合預設規則； 上圖就是「IP地址過濾」頁面，我們可以看到預設的過濾規則， 可以填加新條目； 上圖就是詳細具體的規則設置頁面，各項參數如上； 我們配置一條規則：限制內部區域網的一台電腦，IP地址192. 168. 1. 10，只讓它登錄 www.tp-link.com.cn 這個網站 ，別的任何操作都不行； 上面這條規則可以解讀為：內網電腦往公網發送數據包， 數據包的源IP地址是要限制的這台電腦的IP地址192. 168. 1. 10，數據包目的IP地址202. 96. 137. 26 ，也就是 www.tp-link.com.cn 這個域名對應的公 網IP地址，廣域網請求因為是針對網站的限制，所以埠號是80 ；規則設置好界面如下圖： 可以在配置好的規則頁面清晰看到，規則生效時間是24小時， 控制的對象是IP地址為 192. 168. 1. 10這台主機，區域網後面的埠默認不要填， 廣域網IP地址欄填入的是 www.tp-link.com.cn 對應的公網IP地址，埠號因為是網站所以填80， 協議一般默認選擇ALL就行了；是否允許通過呢？ 因為預設規則是禁止不符合設定規則的數據包通過路由器， 所以符合設定規則的數據包允許通過，規則狀態為生效的； 上面這幅圖片新加了第二條規則， 請問第二條規則設定的是什麼數據包？ 如果您的規則中涉及對網站進行限制， 也就是目的請求埠是80的， 則應該考慮對應的將53這個埠對應數據包也允許通過， 因為53對應的是去往「域名解析伺服器」的數據包，用於將域名（ 如 www.tp-link.com.cn ）和IP地址（ 如202. 96. 137. 26）對應的，所以必須開！ 配置「IP地址過濾規則」這個功能用來實現您的一些目的， 最主要的是分析都要做那些控制，然後選擇怎樣的預設規則？ 配置怎樣的過濾規則？如果您決心了解這個功能的真正作用， 通過仔細參考資料和在路由器上反復的實驗， 您一定可以完全掌握的！

『肆』 cisco ACL 限制埠

ip access-list extended 100
access-list 100 deny tcp 192.168.0.0 0.0.255.255 10.2.0.0 0.0.255.255 eq 22
access-list 100 deny tcp 192.168.0.0 0.0.255.255 10.2.0.0 0.0.255.255 eq telnet
access-list 100 deny tcp10.20.0.0 0.0.255.255 10.2.0.0 0.0.255.255 eq 22
access-list 100 deny tcp 10.20.0.0 0.0.255.255 10.2.0.0 0.0.255.255 eq telnet
access-list 100 permit ip any any
將此acl 100 應用到抄辦公網的兩個網關介面上就行了。

『伍』 擴展ACL在一個埠上的入和出的作用有什麼不同

標准列表只對源進行控制，而且不能控制具體協議和埠，一般列表編號為1-99擴展列表可以控制源，目標，協議，埠，一般列表編號為100-199標准列表一般應用到離被保護網路最近的路由器介面上，而擴展表一般應用在離授控制網路最近的路由器介面。這樣說可能不太好理解，舉個例子：如我的網路是192.168.1.0/24，如果我只允許192.168.2.0/24來訪問，用標准表作的話，只需要在192.168.1.0的網關（離本網路最近的路由器介面）上寫access-list 1 permit 192.168.2.0 0.0.0.255（通配符掩碼，不用多說了吧）我現在要保護的是192.168.1.0/24這個網路，就要在離它最近的路由器介面上應有列表再看另一個。只允許我的網路192.168.1.0/24訪問192.168.2.0/24和192.168.3.0/24，如果用標准列表，要分另在2.0和3.0網路的兩個介面上各應用一張表來保護這兩個網路，而用標准表只需要寫一條來嚴格控制這個192.168.1.0/24（被控制網路）就行，寫法是：access-list 100 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255access-list 100 permit ip 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255兩條，一張表，應用在1.0網路的網關介面上就OK當然，對協議和埠的控制是一回事，只不過加了更多的參數，也就是條件，方法一樣。

『陸』 如何通過ACL屏蔽80埠

我是學來思科的 照思科的命令應該是自
Switch（config）#access-list 110 deny tcp 172.16.132.60 0.0.0.0 any eq 80 (封堵80埠）
Switch(config)#access-list 110 permit ip any any （開通除80以外的所有流量）
進入連接此機子的交換機介面Switch(config-if)#ip access-group 110 in(在介面中啟用此ACL）
我看了下你的命令，你的反掩碼有問題。也就是0.0.0.1 如果是特定IP的話，那麼就要全部匹配，不應該是.1

『柒』 ACL是控制源目IP，埠的，它是怎麼抓路由的呢

你這抄是兩個問題，一個是路由控襲制層面的問題：R1從R3學來路由，建立一個路由資料庫，通過這個路由資料庫計算出路由表，數據進行轉發時，根據路由表知道發往3.3.3.0/24的數據應發向S0/1。
另一個是業務數據層面的問題：ACL使用於設備埠，ACL源地址限制是根據數據包的源IP地址進行限制，這個源地址在數據包中是不變的，與路由從哪裡學來沒關系。

『捌』 你好我想問問交換機怎麼禁止3389埠ACL命令

你好，自問問改版後己經無法刪除了。。。。。望採納，有疑問可追問，祝您愉快，每天都有好心情。

『玖』 思科路由器ACL封堵埠問題 求教

使用擴展ACL就可以：
Router(config)#ip access-list extend TEXT
//定義名字為TEXT的ACL
Router(config-acl)#permit tcp (udp) 源IP 反掩碼 [eq 埠號] 目的IP 反掩碼 eq 埠號
//定義ACL的條目，允許特定訪問埠號
Router(config)#int f0/0（介面號）
Router(config-if)#ip access-group TEXT in(out)
//介面調用名字為TEXT的ACL
1、例子，在介面F0/0上允許任何IP訪問TCP埠80（HTTP埠），其餘均過濾
ip access-list extend per_HTTP
permit tcp any any eq http
deny ip any any
exit
int f0/0
ip access-group per_HTTP in
2、例，在介面F0/0阻止1.1.1.1訪問到2.2.2.2的tcp和udp139埠其餘流量均放行：
access-list 199 deny tcp host 1.1.1.1 host 2.2.2.2 eq 139 //ACL另一種做法
access-list 199 deny udp host 1.1.1.1 host 2.2.2.2 eq 139
access-list 199 permit any any //ACL默認隱式deny any any
int f0/0
ip access-group 199 in

『拾』 cisco 路由器 如何設置只允許特定埠訪問

使用擴展ACL就可以：
Router(config)#ip access-list extend TEXT
//定義名字為TEXT的ACL
Router(config-acl)#permit tcp (udp) 源IP 反掩碼 [eq 埠號] 目的IP 反掩碼 eq 埠號
//定義ACL的條目，允許特定訪問埠號
Router(config)#int f0/0（介面號）
Router(config-if)#ip access-group TEXT in(out)
//介面調用名字為TEXT的ACL

1、例子，在介面F0/0上允許任何IP訪問TCP埠80（HTTP埠），其餘均過濾
ip access-list extend per_HTTP
permit tcp any any eq http
deny ip any any
exit
int f0/0
ip access-group per_HTTP in

2、例，在介面F0/0阻止1.1.1.1訪問到2.2.2.2的tcp和udp139埠其餘流量均放行：
access-list 199 deny tcp host 1.1.1.1 host 2.2.2.2 eq 139 //ACL另一種做法
access-list 199 deny udp host 1.1.1.1 host 2.2.2.2 eq 139
access-list 199 permit any any //ACL默認隱式deny any any
int f0/0
ip access-group 199 in