acl过滤端口号

『壹』 在acl中怎么将应用在端口的命令撤消

进接口下，
no ip access-group 100 out

『贰』 路由器设置acl的时候为什么能够解析四层的端口号

说明某些路由器跨三层了

『叁』 目的端口做限制，源端口不限制 是扩展访问ACL 做么

如tp-link路由器配置指南 对路由器进行基本配置，使电脑通过路由器实现共享上网， 过程相对来说比较容易实现；这篇文档下面的内容， 主要讲述如下几部分： 1， 收集并判断信息，为配置路由器做准备； 2， 进入路由器管理界面，对路由器进行配置； 3， 配置过程简单的故障定位排除； 让我们快快开始，进入正题！ 1， 置路由器前的准备工作（如果你对你自己的连接方式清楚， 可以直接跳到第2点） 第一个需要确认的就是您的“宽带接入方式”是怎样的？ 当然，最简捷的办法就是给您的ISP（互联网服务提供商） 打个电话咨询一下； 也可以通过您购买路由器以前的网络连接方式进行快速判断。 常见的硬件连接方式有下面几种： 1， 电话线 —> ADSL MODEM —> 电脑 2，双绞线（以太网线）—> 电脑 3，有线电视（同轴电缆）—> Cable MODEM —> 电脑 4，光纤 —> 光电转换器 —> 代理服务器 —> PC ADSL / VDSL PPPoE ： 电脑上运行第三方拨号软件如Enternet300或WinXP 系统自带的拨号程序，填入ISP提供的账号和密码， 每次上网前先要拨号； 或者您的ADSL MODEM 已启用路由功能，填入了ISP提供的账号和密码，拨号的动作交给 MODEM 去做；（这种宽带接入方式典型的比如南方电信提供的“ 网络快车 ”） 静态IP ：ISP提供给您固定的IP地址、子网掩码、默认网关、DNS ； 动态IP ：电脑的TCP/IP属性设置为“自动获取IP地址”， 每次启动电脑即可上网；（这种宽带接入方式典型的比如深圳“ 天威视讯”） 802.1X+静态IP ：ISP提供固定的IP地址，专用拨号软件，账号和密码 ； 802.1X+动态IP ：ISP提供专用拨号软件，账号和密码 ； WEB认证 ：每次上网之前，打开IE浏览器，先去ISP指定的主页， 填入ISP提供的用户名密码， 通过认证以后才可以进行其他得上网操作； （上面的黑体字就是您的宽带接入方式， 接入方式和硬件连接方式并不是固定搭配的） 上面提到的这些连接认证方式只是普及率比较高的一些宽带接入方式 ，当然还会有其他的拓扑连接以及认证方式的存在；所以， 当您不能肯定自己的宽带方式的时候，最好向ISP咨询： 自己装的宽带接入，IP地址是静态的还是动态的？ 认证使用的协议是PPPoE、802.1X还是WEB认证？ 当上面的两个问题有了答案，就可以对路由器进行配置了； 2， 怎样进入路由器管理界面？ 先参照《用户手册》上面的图示，将ADSL MODEM、路由器、电脑连结起来； TL-R4XX系列路由器的管理地址出厂默认：IP地址： 192. 168. 1. 1 ，子网掩码：255. 255. 255. 0 （TL-R400 和TL-R400+ 两款的管理地址默认为：192. 168. 123. 254 ，子网掩码：255. 255. 255. 0）用网线将路由器LAN口和电脑网卡连接好， 因为路由器上的以太网口具有极性自动翻转功能， 所以无论您的网线采用直连线或交叉线都可以， 需要保证的是网线水晶头的制作牢靠稳固，水晶头铜片没有生锈等。 电脑桌面上右键点击“网上邻居”，选择“属性”， 在弹出的窗口中双击打开“本地连接”，在弹出的窗口中点击“ 属性”，然后找寻“Internet协议（TCP/IP）”， 双击弹出“Internet协议（TCP/IP）属性”窗口； 在这个窗口中选择“使用下面的IP地址”， 然后在对应的位置填入： IP地址 ：192. 168. 1. X（X范围2-254）、 子网掩码：255. 255. 255. 0 、 默认网关：192. 168. 1. 1 ，填完以后“确定”两次即可； “Internet协议（TCP/IP）属性”窗口如下： 3，检查电脑和路由器能不能通讯？ 可采用如下办法查看，打开电脑的DOS界面： “开始”—>“程序”，点击“MS-DOS” （Win98操作系统） “开始”—>“程序”—“附件”，点击“命令提示符” （Win2000/XP操作系统） 一是检查上面的IP地址配置是否生效？ 在DOS窗口输入：ipconfig/all 并回车，当看到类似如下信息，表示配置生效 ， IP Address . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . : 192. 168. 1. 10 Subnet Mast . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .: 255. 255. 255. 0 Default Gateway. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . : 192. 168. 1. 1 二是从电脑往路由器LAN口发送数据包，看数据包能不能返回？ 在DOS窗口运行： ping 192. 168. 1. 1 –t 并回车，如果出现如下类似信息， Reply from 192. 168. 1. 1 : bytes=32 time<10ms TTL=128 Reply from 192. 168. 1. 1 : bytes=32 time<10ms TTL=128 Reply from 192. 168. 1. 1 : bytes=32 time<10ms TTL=128 如果回车后没有出现上面的信息，确提示输入的命令“ 不是内部命令或外部命令，也不是可运行的程序或批处理程序”， 则说明命令输入有误，请检查空格之类的输入是否被忽略； 4，进入路由器管理界面；出现上图的信息， 表示电脑可以和路由器通讯了，打开IE浏览器，在地址栏输入 192. 168. 1. 1 并回车，正常情况下会出现要求输入用户名和密码的对话框。当然， 也有例外情况： 如果打开IE浏览器地址栏输入地址回车，弹出“脱机工作” 的对话框，点即“连接”后出现拨号的小窗口， 请点击IE浏览器菜单栏的“工具”—“Internet选项”， 在弹出的对话框内点击“连接”属性页，界面如下图： 进行了上面的操作， 应该说进入路由器管理界面应该没有什么障碍了； 5，开始配置路由器；有了刚开始时对宽带接入方式的信息准备， 配置起来方便多了；刚进入路由器管理界面，会弹出一个类似下图“ 设置向导”界面，可以取消不理它； 进入路由器管理界面，在左列菜单栏中点击“网络参数”—>“ WAN口设置”， 就在这里配置路由器面向Internet方向的WAN口的工作模 式，这是最关键的一步； 假设您的宽带接入方式为 ADSL PPPoE ，那就选择“WAN口连接类型”为“PPPoE”，填入“ 上网账号” 、“上网口令”，如果您是包月用户，再选择连接模式为：“ 自动连接”，点击“保存”即完成配置；保存完后“上网口令” 框内填入的密码会多出几位，这是路由器为了安全起见专门做的； 然后您点击管理界面左列的“运行状态”，在运行状态页面“ WAN口属性”， 刚开始看不到对应的IP地址子网掩码默认网关DNS服务器等地址 ，就好像下面的这幅图，那说明路由器正在拨号过程中， 等到这些地址都出现了相应的信息后， 将其中的DNS服务器地址填入电脑“Internet协议（ TCP/IP）”页面对应位置确定后，基本的设置就完成了， 没有大碍的话可以冲浪了！ 正常情况下一两分钟内，上图椭圆形部分会出现一系列地址， 表明拨号成功； 6，故障情况列举； 如果上图椭圆形区域一直都没有变，看不到任何地址， 有下面几种原因导致，请逐一排除： 1） ADSL MODEM上一般都会有一个ADSL灯， 正常情况下MODEM加电并接好电话线后， 这个灯会大致规律性地快慢闪烁，闪烁最终停止变为长亮； 如果这个灯无休止的闪啊闪就是不长亮， 请联系并告知ISP您的ADSL MODEM同局端的交换机不能同步，这个ADSL/ DSL灯长亮的条件，是必须的； 2） 在配置过程中填入“上网口令”的时候不小心输错， 不妨重新输入一遍； 3） ADSL MODEM 启用了“路由模式”， 需要将ADSL MDOEM复位成“桥接模式”； 怎么复位到桥接模式可以和MODEM厂家联系取得操作方法； 也可以这样判断：电脑接MODEM，并且在电脑上拨号， 拨号成功以后可以上网，如果是这种情况的话， 则说明MODEM的工作方式是桥接模式，可以排除这一可能性； 4） ISP将电脑网卡的MAC地址帮定到了ADSL线路上； 解决的办法就是使用路由器的“MAC地址克隆”功能， 将网卡的MAC地址复制到路由器的WAN口； 如果上面的可能性都排除了，ADSL PPPoE拨号一般就没什么问题了， 下面列举的是另2个值得关注的故障原因； 5） 您的宽带接入方式是那种以太网线直接引入， 不是ADSL但同样需要拨号，拨号的软件不局限于一种， 认证使用的协议也是PPPoE，但就是拨号成功不了； 如果ISP承诺带宽是10Mbps ，建议：找个10/100M自适应的集线器， 将宽带进线接在集线器上，然后再连结集线器到路由器WAN口； 经过这样一个速率适配的过程，拨号应该没有问题的； 6） 购买路由器前，您也是通过电脑运行拨号软件， 填入用户名口令拨号。但拨号软件是ISP提供的专用软件， 别的软件拨号是成功不了的；如果是这种情况， 请联系ISP咨询一下：您的宽带接入，认证使用的协议是802. 1X 吗？如果是的，有种可能是认证系统在开发过程中加入私有信息， 导致路由器拨号失败； 7，其他配置 1） 安全设置 当可以正常上网了，可能出于不同的原因， 您想要对内部局域网的电脑上网操作，开放不同的权限， 比如只允许登录某些网站、只能收发E-mail、一部分有限制、 一部分不限制；用户在这方面需求差异较大， 有些通过路由器可以实现，有些用路由器是没办法完全实现的， 比如“IP地址和网卡地址绑定”这个功能，路由器不能完全做到； 我们上网的操作，其实质是电脑不断发送请求数据包， 这些请求数据包必然包含一些参数比如：源IP、目的IP、 源端口、目的端口等等；路由器正是通过对这些参数的限制， 来达到控制内部局域网的电脑不同上网权限的目的； 下面我们会列举具有代表性的配置举例，来说明路由器“ 防火墙设置”、“IP地址过滤”这些功能是怎样使用的？ 列举的事例以及上面红字部分的解释， 都是为了帮助您尽可能理解各个功能参数的含义， 只有理解了参数的含义，您才可以随心所欲的配置过滤规则， 迅速实现您预期的目的， 而不会因为配置错误导致不能使用这些功能， 也不会因为由于得不到及时的技术支持而耽误您的应用； 上图是“防火墙设置”页面，可以看到这是一个总开关的设置页面， 凡是没有使用的功能，就请不要在它前面打钩选中； 除了总开关，再有就是两个过滤功能“缺省过滤规则”的确定， 何谓缺省过滤规则？我们在具体规则设置页面里， 定义一些特定的规则，对符合条件的数据包进行控制处理， 而这儿的“缺省规则”顾名思义， 限定的是我们定制的规则中没有涉及到不符合的数据包该怎么办？ 这个应该不难理解吧； 一个数据包，要吗符合我们设定的规则， 要吗不符合我们设定的规则但同时必定符合缺省规则； 上图就是“IP地址过滤”页面，我们可以看到缺省的过滤规则， 可以填加新条目； 上图就是详细具体的规则设置页面，各项参数如上； 我们配置一条规则：限制内部局域网的一台电脑，IP地址192. 168. 1. 10，只让它登录 www.tp-link.com.cn 这个网站 ，别的任何操作都不行； 上面这条规则可以解读为：内网电脑往公网发送数据包， 数据包的源IP地址是要限制的这台电脑的IP地址192. 168. 1. 10，数据包目的IP地址202. 96. 137. 26 ，也就是 www.tp-link.com.cn 这个域名对应的公 网IP地址，广域网请求因为是针对网站的限制，所以端口号是80 ；规则设置好界面如下图： 可以在配置好的规则页面清晰看到，规则生效时间是24小时， 控制的对象是IP地址为 192. 168. 1. 10这台主机，局域网后面的端口默认不要填， 广域网IP地址栏填入的是 www.tp-link.com.cn 对应的公网IP地址，端口号因为是网站所以填80， 协议一般默认选择ALL就行了；是否允许通过呢？ 因为缺省规则是禁止不符合设定规则的数据包通过路由器， 所以符合设定规则的数据包允许通过，规则状态为生效的； 上面这幅图片新加了第二条规则， 请问第二条规则设定的是什么数据包？ 如果您的规则中涉及对网站进行限制， 也就是目的请求端口是80的， 则应该考虑对应的将53这个端口对应数据包也允许通过， 因为53对应的是去往“域名解析服务器”的数据包，用于将域名（ 如 www.tp-link.com.cn ）和IP地址（ 如202. 96. 137. 26）对应的，所以必须开！ 配置“IP地址过滤规则”这个功能用来实现您的一些目的， 最主要的是分析都要做那些控制，然后选择怎样的缺省规则？ 配置怎样的过滤规则？如果您决心了解这个功能的真正作用， 通过仔细参考资料和在路由器上反复的实验， 您一定可以完全掌握的！

『肆』 cisco ACL 限制端口

ip access-list extended 100
access-list 100 deny tcp 192.168.0.0 0.0.255.255 10.2.0.0 0.0.255.255 eq 22
access-list 100 deny tcp 192.168.0.0 0.0.255.255 10.2.0.0 0.0.255.255 eq telnet
access-list 100 deny tcp10.20.0.0 0.0.255.255 10.2.0.0 0.0.255.255 eq 22
access-list 100 deny tcp 10.20.0.0 0.0.255.255 10.2.0.0 0.0.255.255 eq telnet
access-list 100 permit ip any any
将此acl 100 应用到抄办公网的两个网关接口上就行了。

『伍』 扩展ACL在一个端口上的入和出的作用有什么不同

标准列表只对源进行控制，而且不能控制具体协议和端口，一般列表编号为1-99扩展列表可以控制源，目标，协议，端口，一般列表编号为100-199标准列表一般应用到离被保护网络最近的路由器接口上，而扩展表一般应用在离授控制网络最近的路由器接口。这样说可能不太好理解，举个例子：如我的网络是192.168.1.0/24，如果我只允许192.168.2.0/24来访问，用标准表作的话，只需要在192.168.1.0的网关（离本网络最近的路由器接口）上写access-list 1 permit 192.168.2.0 0.0.0.255（通配符掩码，不用多说了吧）我现在要保护的是192.168.1.0/24这个网络，就要在离它最近的路由器接口上应有列表再看另一个。只允许我的网络192.168.1.0/24访问192.168.2.0/24和192.168.3.0/24，如果用标准列表，要分另在2.0和3.0网络的两个接口上各应用一张表来保护这两个网络，而用标准表只需要写一条来严格控制这个192.168.1.0/24（被控制网络）就行，写法是：access-list 100 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255access-list 100 permit ip 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255两条，一张表，应用在1.0网络的网关接口上就OK当然，对协议和端口的控制是一回事，只不过加了更多的参数，也就是条件，方法一样。

『陆』 如何通过ACL屏蔽80端口

我是学来思科的 照思科的命令应该是自
Switch（config）#access-list 110 deny tcp 172.16.132.60 0.0.0.0 any eq 80 (封堵80端口）
Switch(config)#access-list 110 permit ip any any （开通除80以外的所有流量）
进入连接此机子的交换机接口Switch(config-if)#ip access-group 110 in(在接口中启用此ACL）
我看了下你的命令，你的反掩码有问题。也就是0.0.0.1 如果是特定IP的话，那么就要全部匹配，不应该是.1

『柒』 ACL是控制源目IP，端口的，它是怎么抓路由的呢

你这抄是两个问题，一个是路由控袭制层面的问题：R1从R3学来路由，建立一个路由数据库，通过这个路由数据库计算出路由表，数据进行转发时，根据路由表知道发往3.3.3.0/24的数据应发向S0/1。
另一个是业务数据层面的问题：ACL使用于设备端口，ACL源地址限制是根据数据包的源IP地址进行限制，这个源地址在数据包中是不变的，与路由从哪里学来没关系。

『捌』 你好我想问问交换机怎么禁止3389端口ACL命令

你好，自问问改版后己经无法删除了。。。。。望采纳，有疑问可追问，祝您愉快，每天都有好心情。

『玖』 思科路由器ACL封堵端口问题 求教

使用扩展ACL就可以：
Router(config)#ip access-list extend TEXT
//定义名字为TEXT的ACL
Router(config-acl)#permit tcp (udp) 源IP 反掩码 [eq 端口号] 目的IP 反掩码 eq 端口号
//定义ACL的条目，允许特定访问端口号
Router(config)#int f0/0（接口号）
Router(config-if)#ip access-group TEXT in(out)
//接口调用名字为TEXT的ACL
1、例子，在接口F0/0上允许任何IP访问TCP端口80（HTTP端口），其余均过滤
ip access-list extend per_HTTP
permit tcp any any eq http
deny ip any any
exit
int f0/0
ip access-group per_HTTP in
2、例，在接口F0/0阻止1.1.1.1访问到2.2.2.2的tcp和udp139端口其余流量均放行：
access-list 199 deny tcp host 1.1.1.1 host 2.2.2.2 eq 139 //ACL另一种做法
access-list 199 deny udp host 1.1.1.1 host 2.2.2.2 eq 139
access-list 199 permit any any //ACL默认隐式deny any any
int f0/0
ip access-group 199 in

『拾』 cisco 路由器 如何设置只允许特定端口访问

使用扩展ACL就可以：
Router(config)#ip access-list extend TEXT
//定义名字为TEXT的ACL
Router(config-acl)#permit tcp (udp) 源IP 反掩码 [eq 端口号] 目的IP 反掩码 eq 端口号
//定义ACL的条目，允许特定访问端口号
Router(config)#int f0/0（接口号）
Router(config-if)#ip access-group TEXT in(out)
//接口调用名字为TEXT的ACL

1、例子，在接口F0/0上允许任何IP访问TCP端口80（HTTP端口），其余均过滤
ip access-list extend per_HTTP
permit tcp any any eq http
deny ip any any
exit
int f0/0
ip access-group per_HTTP in

2、例，在接口F0/0阻止1.1.1.1访问到2.2.2.2的tcp和udp139端口其余流量均放行：
access-list 199 deny tcp host 1.1.1.1 host 2.2.2.2 eq 139 //ACL另一种做法
access-list 199 deny udp host 1.1.1.1 host 2.2.2.2 eq 139
access-list 199 permit any any //ACL默认隐式deny any any
int f0/0
ip access-group 199 in