acl拒绝访问ftp服务器
1. cisco模拟器中如何设置允许www服务禁止ftp服务,两个路由不在一个网段
你好!
假设服务器的IP地址为192.168.1.250,
假设要控制的网段为192.192.1.0/24
假设路由器的出口接口为fastethernet0/0,那么写如下ACL
enable
configure terminal
access-list 100 permit tcp 192.192.1.0 0.0.0.255 host 192.168.1.250 eq 80
access-list 100 deny tcp 192.192.1.0 0.0.0.255 host 192.168.1.250 eq 21
access-list 100 permit ip any any
interface fastethernet0/0
ip access-group 100 in
望采纳!
2. 怎么用ACL能让一个网段用FTP其他网段不能访问,
首先,你需要购置一台路由器,路由器很便宜的,通常几十到一百都能买到。
我们先假设网络A的网段为192.168.0.x,网络B的网段为192.168.1.x,路由器地址为192.168.1.1,A的HTTP服务器设为192.168.3.1,B的HTTP服务器地址设为192.168.3.2,下面开始工作:
通过路由器把两个网段的网络连接起来,接入两个网络的交换机即可,如下
网络A---路由器---网络B(注意不能插在路由器的WAN口)
通过网络B的机器访问路由器,找到其中的路由表,增加一个路由表:
IP:192.168.3.0 子网掩码:255.255.255.0 网关设为:192.168.1.1
保存退出后,把所有局域网内的机器子网掩码设为255.255.255.0,
网关设为192.168.1.1
然后试试通过http://192.168.3.1或http://192.168.3.2访问试试
当然,你如果有带路由的modem也能实现上述功能,连接有点不一样,应该为:
modem---网络A---网络B或接在网络B上也行,其它设置跟路由器一样
ftp服务器如果是同一台就不用设置,如果不是的请把它设为192.168.3.x
如果想两个网络互联互通,只需要把服务器IP改成原本网段的IP,然后把路由表改成:
192.168.0.0 255.255.255.0 192.168.1.1
就行了,一般路由器里面会有一个本来的表
192.168.1.0 255.255.255.0 192.168.1.1
如果没有上述表,请添加!
其实还有很多方法,比如说不增加硬件成本的基础上,把其中一台电脑做软件路由,但实现比这个要复杂,而且不如这个稳定,那台电脑还得必须保持随时开启才能实现,所以不推荐使用
原来你是家庭路由器,那么你现在的功能是基本上无法实现的。
因为家庭路由的工作原理是WAN口做为网关出口,内部数据包找不到的地址都会传给路由器由WAN口发出去。
你现在B,C路由PING路由A的时候默认交给各自WAN口,也就是通过HUB到了A当然就能PING通,而当B,C互PING的时候由于他们相互之间不知道对方局域网地址,所以交给他们的网关,
也就是从各自WAN口发出到A,
但是由于A此时也不能直接知道B,C内部网段,所以A也通过它自己的WAN口发到外部网络去了,当然就PING不通了。
还有一点,家庭路由器在内网到外网的过程中是使用了NAT地址转换的。对于一个家庭路由器外部而言是无法找到内部主机是什么地址的,除非你使用端口映射。
3. 思科交换机配置ACL,想要禁止他的WWW协议和FTP协议,求命令语句
access-list 101 deny tcp host x.x.x.x any eq www
access-list 101 deny tcp host x.x.x.x any eq ftp
access-list 101 permit ip any any
int f0/1 他电脑所在的接口
ip access-group 101 in
4. AIX系统中如何限制用户的ftp访问
还是要看你需要实现什么样的目的。
要想实现对某一目录,针对不同的ftp用户有不同的访问权限,建议安装专门的ftp server软件,如wu_ftpd。 如果使用AIX默认的ftp
server,我们可以通过使用ACL(Access Control List)--访问控制列表--来实现近似的效果。 ACL是一种在基本文件权限控制以外的扩展控制,它可以针对某个文件做更精细的控制,可单独指定某个用户或属组的访问权限,配置过程举例如下:
1、 针对我们的需求,首先把/tmp/ftp_folder 的权限改成750(或其他需要的权限),然后通过ACL给不同的用户增加许可读和写的权限。注意:如果在执行acledit后重新执行chmod,ACL
中的“extended permissions”将会被重新置成“disabled”;
2、指定ACL使用的编辑器:
# export EDITOR=/usr/bin/vi
3、# acledit /tmp/ftp_folder
其中 /tmp/ftp_folder 为所要控制的文件,此时,屏幕将显示
attributes:
base permissions
owner(root): rwx
group(system): r-x
others: ---
extended permissions
disabled --> enabled
为使用ACL控制,将其中的disabled改为enabled
4、在其后添加控制项,用关键字permit来控制具体权限,比如:
permit r-x u:ftp1 用户ftp1对其有“读”权限
permit -wx u:ftp2 用户ftp2对其有“写”权限
注意: ACL中每行只能有一个用户名。
5、测试
针对用户ftp1,上传操作被拒绝
ftp> put file1
200 PORT command successful.
553 file1: The file access permissions do not allow the specified action.
针对用户ftp2,列取文件操作没有输出
ftp> ls
200 PORT command successful.
550 No files found.
这里要注意是,用户ftp2不具有“读”权限只表明该用户无法读取文件列表,但如果他知道该目录下的文件名,一样可以用 get命令来下载文件(如果用户使用的是可视化的ftp工具基本不存在这个问题);这是因为在UNIX系统中,对目录来说,“读”(r)权限代表可以列出 该目录下的内容。即使没有“读”权限,只要有“访问”(x)权限,就可以从该目录下拷贝文件。 因此,我们只能说ACL可以近似实现限制“读”(下载)的需求。
5. H3C 怎么配置acl才能禁止局域网内的设备访问外部公共网络,或者只能使用FTP服务。
一般需要在路由器上配置,FTP用的端口是TCP 21和TCP 22。你用路由器的防火墙配置,只开放这两个端口应该就可以的。
或者部署一台上网行为管理,比如WFilter这样的产品,可以基于应用协议来配置上网策略。
6. 内网中,三层交换机下配置ACL已达到阻止某网段访问FTP服务器的方法(其他网段不阻止),命令越具体越好。
例如:三层交换机上f0/1接口上连接的是FTP服务器 FTP服务器IP地址是:192.168.1.1 条目:阻止192.168.2.0网段访问FTP服务器sw(config)#access-list 101 deny tcp 192.168.2.0 0.0.0.255 host 192.168.1.1 eq 21 sw(config)#int f0/1sw(config-if)#ip access-group 101 in