353. 一台MSR路由器通过S1/0接口连接Internet,GE0/0接口连接局域网主机,局域网主机所在网段为10.0.0.0/8,在Internet上有一台IP地址为202.102.2.1的FTP服务器。通过在路由器上配置IP地址和路由,目前局域网内的主机可以正常访问Internet(包括公网FTP服务器),如今在路由器上增加如下配置:firewallenable
aclnumber 3000
rule 0 deny tcp source 10.1.1.1 0 source-porteq ftp destination 202.102.2.1 0
然后将此ACL应用在GE0/0接口的inbound和outbound方向,那么这条ACL能实现下列哪些意图?
A. 禁止源地址为10.1.1.1的主机向目的主机202.102.2.1发起FTP连接
B. 只禁止源地址为10.1.1.1的主机到目的主机202.102.2.1的端口为TCP21的FTP控制连接
C. 只禁止源地址为10.1.1.1的主机到目的主机202.102.2.1的端口为TCP20的FTP数据连接
D. 对从10.1.1.1向202.102.2.1发起的FTP连接没有任何限制作
答案是D,请问为什么?
帮我解决一个h3c acl的问题
答案:2 悬赏:60 手机版
解决时间 2021-12-23 16:48
- 提问者网友:一抹荒凉废墟
- 2021-12-23 06:35
最佳答案
- 五星知识达人网友:西风乍起
- 2021-12-23 07:58
D.是正确的。
rule 0 deny tcp source 10.1.1.1 0 source-porteq ftp destination 202.102.2.1 0
定义的是源地址10.1.1.1的FTP协议到目的地址202.102.2.1
此下发在内网接口的in和out方向。但是只有in的方向的策略才好使,因为源地址是内网的地址。out方向不起作用。
10.1.1.1发起的ftp连接时,计算机自己的端口是不固定的,对方的端口才是ftp端口。所以此acl也没有意义。如果是
rule 0 deny tcp source 10.1.1.1 0 destination 202.102.2.1 0 source-porteq ftp
这样的话,才是访问不了对方的ftp
rule 0 deny tcp source 10.1.1.1 0 source-porteq ftp destination 202.102.2.1 0
定义的是源地址10.1.1.1的FTP协议到目的地址202.102.2.1
此下发在内网接口的in和out方向。但是只有in的方向的策略才好使,因为源地址是内网的地址。out方向不起作用。
10.1.1.1发起的ftp连接时,计算机自己的端口是不固定的,对方的端口才是ftp端口。所以此acl也没有意义。如果是
rule 0 deny tcp source 10.1.1.1 0 destination 202.102.2.1 0 source-porteq ftp
这样的话,才是访问不了对方的ftp
全部回答
- 1楼网友:枭雄戏美人
- 2021-12-23 08:39
先deny 后permit
也就是入rule 1是deny。rule 2是permit
我要举报
如以上回答内容为低俗、色情、不良、暴力、侵权、涉及违法等信息,可以点下面链接进行举报!
点此我要举报以上问答信息
大家都在看
推荐资讯