acl拒絕訪問ftp伺服器
1. cisco模擬器中如何設置允許www服務禁止ftp服務,兩個路由不在一個網段
你好!
假設伺服器的IP地址為192.168.1.250,
假設要控制的網段為192.192.1.0/24
假設路由器的出口介面為fastethernet0/0,那麼寫如下ACL
enable
configure terminal
access-list 100 permit tcp 192.192.1.0 0.0.0.255 host 192.168.1.250 eq 80
access-list 100 deny tcp 192.192.1.0 0.0.0.255 host 192.168.1.250 eq 21
access-list 100 permit ip any any
interface fastethernet0/0
ip access-group 100 in
望採納!
2. 怎麼用ACL能讓一個網段用FTP其他網段不能訪問,
首先,你需要購置一台路由器,路由器很便宜的,通常幾十到一百都能買到。
我們先假設網路A的網段為192.168.0.x,網路B的網段為192.168.1.x,路由器地址為192.168.1.1,A的HTTP伺服器設為192.168.3.1,B的HTTP伺服器地址設為192.168.3.2,下面開始工作:
通過路由器把兩個網段的網路連接起來,接入兩個網路的交換機即可,如下
網路A---路由器---網路B(注意不能插在路由器的WAN口)
通過網路B的機器訪問路由器,找到其中的路由表,增加一個路由表:
IP:192.168.3.0 子網掩碼:255.255.255.0 網關設為:192.168.1.1
保存退出後,把所有區域網內的機器子網掩碼設為255.255.255.0,
網關設為192.168.1.1
然後試試通過http://192.168.3.1或http://192.168.3.2訪問試試
當然,你如果有帶路由的modem也能實現上述功能,連接有點不一樣,應該為:
modem---網路A---網路B或接在網路B上也行,其它設置跟路由器一樣
ftp伺服器如果是同一台就不用設置,如果不是的請把它設為192.168.3.x
如果想兩個網路互聯互通,只需要把伺服器IP改成原本網段的IP,然後把路由表改成:
192.168.0.0 255.255.255.0 192.168.1.1
就行了,一般路由器裡面會有一個本來的表
192.168.1.0 255.255.255.0 192.168.1.1
如果沒有上述表,請添加!
其實還有很多方法,比如說不增加硬體成本的基礎上,把其中一台電腦做軟體路由,但實現比這個要復雜,而且不如這個穩定,那台電腦還得必須保持隨時開啟才能實現,所以不推薦使用
原來你是家庭路由器,那麼你現在的功能是基本上無法實現的。
因為家庭路由的工作原理是WAN口做為網關出口,內部數據包找不到的地址都會傳給路由器由WAN口發出去。
你現在B,C路由PING路由A的時候默認交給各自WAN口,也就是通過HUB到了A當然就能PING通,而當B,C互PING的時候由於他們相互之間不知道對方區域網地址,所以交給他們的網關,
也就是從各自WAN口發出到A,
但是由於A此時也不能直接知道B,C內部網段,所以A也通過它自己的WAN口發到外部網路去了,當然就PING不通了。
還有一點,家庭路由器在內網到外網的過程中是使用了NAT地址轉換的。對於一個家庭路由器外部而言是無法找到內部主機是什麼地址的,除非你使用埠映射。
3. 思科交換機配置ACL,想要禁止他的WWW協議和FTP協議,求命令語句
access-list 101 deny tcp host x.x.x.x any eq www
access-list 101 deny tcp host x.x.x.x any eq ftp
access-list 101 permit ip any any
int f0/1 他電腦所在的介面
ip access-group 101 in
4. AIX系統中如何限制用戶的ftp訪問
還是要看你需要實現什麼樣的目的。
要想實現對某一目錄,針對不同的ftp用戶有不同的訪問許可權,建議安裝專門的ftp server軟體,如wu_ftpd。 如果使用AIX默認的ftp
server,我們可以通過使用ACL(Access Control List)--訪問控制列表--來實現近似的效果。 ACL是一種在基本文件許可權控制以外的擴展控制,它可以針對某個文件做更精細的控制,可單獨指定某個用戶或屬組的訪問許可權,配置過程舉例如下:
1、 針對我們的需求,首先把/tmp/ftp_folder 的許可權改成750(或其他需要的許可權),然後通過ACL給不同的用戶增加許可讀和寫的許可權。注意:如果在執行acledit後重新執行chmod,ACL
中的「extended permissions」將會被重新置成「disabled」;
2、指定ACL使用的編輯器:
# export EDITOR=/usr/bin/vi
3、# acledit /tmp/ftp_folder
其中 /tmp/ftp_folder 為所要控制的文件,此時,屏幕將顯示
attributes:
base permissions
owner(root): rwx
group(system): r-x
others: ---
extended permissions
disabled --> enabled
為使用ACL控制,將其中的disabled改為enabled
4、在其後添加控制項,用關鍵字permit來控制具體許可權,比如:
permit r-x u:ftp1 用戶ftp1對其有「讀」許可權
permit -wx u:ftp2 用戶ftp2對其有「寫」許可權
注意: ACL中每行只能有一個用戶名。
5、測試
針對用戶ftp1,上傳操作被拒絕
ftp> put file1
200 PORT command successful.
553 file1: The file access permissions do not allow the specified action.
針對用戶ftp2,列取文件操作沒有輸出
ftp> ls
200 PORT command successful.
550 No files found.
這里要注意是,用戶ftp2不具有「讀」許可權只表明該用戶無法讀取文件列表,但如果他知道該目錄下的文件名,一樣可以用 get命令來下載文件(如果用戶使用的是可視化的ftp工具基本不存在這個問題);這是因為在UNIX系統中,對目錄來說,「讀」(r)許可權代表可以列出 該目錄下的內容。即使沒有「讀」許可權,只要有「訪問」(x)許可權,就可以從該目錄下拷貝文件。 因此,我們只能說ACL可以近似實現限制「讀」(下載)的需求。
5. H3C 怎麼配置acl才能禁止區域網內的設備訪問外部公共網路,或者只能使用FTP服務。
一般需要在路由器上配置,FTP用的埠是TCP 21和TCP 22。你用路由器的防火牆配置,只開放這兩個埠應該就可以的。
或者部署一台上網行為管理,比如WFilter這樣的產品,可以基於應用協議來配置上網策略。
6. 內網中,三層交換機下配置ACL已達到阻止某網段訪問FTP伺服器的方法(其他網段不阻止),命令越具體越好。
例如:三層交換機上f0/1介面上連接的是FTP伺服器 FTP伺服器IP地址是:192.168.1.1 條目:阻止192.168.2.0網段訪問FTP伺服器sw(config)#access-list 101 deny tcp 192.168.2.0 0.0.0.255 host 192.168.1.1 eq 21 sw(config)#int f0/1sw(config-if)#ip access-group 101 in