㈠ 怎麼用ACL能讓一個100網段用FTP其他網段不能訪問,但是能訪問web網站
將acl掛在在連接FTP伺服器的交換機埠出口方向 acl里先放行100網段 然後拒絕所有
㈡ 華為防為牆如何配置ftp
配置FW作為FTP伺服器
介紹配置FW作為FTP伺服器的方法。
操作步驟
執行命令system-view,進入系統視圖。
執行命令ftp server enable,啟動FTP伺服器。
創建FTP管理員。
執行命令aaa,進入AAA視圖。
執行命令manager-useruser-name,配置管理員賬號並進入管理員視圖。
執行命令password[ciphercipher-password],配置管理員賬號對應的密碼。
說明:
薦採用互動式方式創建管理員密碼,通過ciphercipher-password配置密碼時存在密碼泄露的危險。
執行命令levellevel,配置管理員的級別。
說明:
為了保證管理員能正常登錄設備,請將管理員級別配置在3級或3級以上。
執行命令service-typeftp,配置管理員擁有的服務類型為FTP。
執行命令ftp-directorydirectory,配置管理員賬號的FTP服務目錄。
執行命令access-limitmax-number,配置使用本管理員賬號同時可登錄的最大管理員數量。
執行命令quit,退回到AAA視圖。
執行命令quit,退回到系統視圖。
可選:執行命令ftp timeoutminutes,配置FTP伺服器超時斷連時間。
為了防止未授權者的非法入侵,如果在一定時間內沒有收到FTP管理員的服務請求,則系統會斷開與該FTP客戶端的連接。當FTP管理員再需要服務時,需要重新進行登錄操作。
預設情況下,系統的連接空閑時間為30分鍾。
可選:配置FTP的訪問控制列表。
通過配置FTP訪問控制列表,可提高FTP伺服器的安全性。
執行命令acl[number]acl-number[vpn-instancevpn-instance],進入ACL視圖。
說明:
FTP只支持基本訪問控制列表,因此acl-number的取值范圍是2000~2999。
執行命令rule[rule-id] {deny|permit} [logging|source{source-ip-address soucer-wildcard|any} |time-rangetime-name],配置ACL規則。
執行命令quit,退回到系統視圖。
執行命令ftp aclacl-number,配置FTP基本訪問控制列表。
㈢ p配置擴展ipacl中應用acl時無法訪問伺服器ftp的原因
如果你在伺服器介面的in方向加策略,那就錯了,因為伺服器在反饋服務請求的時候,它是不會用FTP的埠回復的,而是隨機埠;正確的做法是在連接伺服器埠的out方向加策略允許其他網段訪問該伺服器的FTP埠,華為的命令不熟,大體意思是這樣的,你自己翻翻資料吧
in方向是不行的,因為in方向是指從伺服器發出的數據包,這樣,它的埠號不是ftp的20、21,而是一個隨機的埠號,如果華為的交換機只有in方向的訪問控制列表的話,你可以把列表放在交換機上聯介面的in方向上。
㈣ 內網中,三層交換機下配置ACL已達到阻止某網段訪問FTP伺服器的方法(其他網段不阻止),命令越具體越好。
例如:三層交換機上f0/1介面上連接的是FTP伺服器 FTP伺服器IP地址是:192.168.1.1 條目:阻止192.168.2.0網段訪問FTP伺服器sw(config)#access-list 101 deny tcp 192.168.2.0 0.0.0.255 host 192.168.1.1 eq 21 sw(config)#int f0/1sw(config-if)#ip access-group 101 in
㈤ 通過ACL,限制VLAN20,僅允許訪問VLAN2的FTP服務
vlan20 的網段:192.168.1.0 255.255.255.0 ftp伺服器:192.168.2.3
路由器f0/2接交換機,f0/1接ftp伺服器
Router(config)#access-list 100 permit tcp 192.168.1.0 0.0.0.255 eq 21 192.168.2.3 0.0.0.255
Router(config)#int f0/2
Router(config-if)#ip access-group 100 in 應用到介面
㈥ 此拓撲結構如何利用ACL實現只允許行政樓訪問FTP,而其他服務不受影響
不太明白你問題中「其他服務不受影響」是什麼意思。
如果我理解為:行政樓可以訪問FTP,行政樓不能訪問其他伺服器(但要求行政樓可以上網和訪問其他單位),而其他地方可以訪問所有伺服器也能上網也能訪問其他單位。
如果是這樣,解法如下:
在R1上(2811路由器)
acc 101 permit tcp 192.168.0.0 0.0.0.255 host 192.168.1.5 eq 21
acc 101 deny ip 192.168.0.0 0.0.0.255 any
acc 101 permit ip any any
inter f0/1(2811路由器的右邊介面)
ip access-group 101 out
不知這樣能否幫到你
㈦ acl如何設置只允許某個網段(192.168.10.0/24)訪問伺服器192.168.50.2
1.實現阻止192.168.1.0/24網段主機訪問192.168.8.8/24這台伺服器的FTP服務:
access-list
100
deny
tcp
192.168.1.0
0.0.0.255
host
192.168.8.8
eq
21
2.其他服務都能正常:
access-list
100
permit
ip
any
any
3.載入在路由器的F0/0:
interface
f0/0
ip
access-group
100
in
㈧ 怎麼用ACL能讓一個網段用FTP其他網段不能訪問,
首先,你需要購置一台路由器,路由器很便宜的,通常幾十到一百都能買到。
我們先假設網路A的網段為192.168.0.x,網路B的網段為192.168.1.x,路由器地址為192.168.1.1,A的HTTP伺服器設為192.168.3.1,B的HTTP伺服器地址設為192.168.3.2,下面開始工作:
通過路由器把兩個網段的網路連接起來,接入兩個網路的交換機即可,如下
網路A---路由器---網路B(注意不能插在路由器的WAN口)
通過網路B的機器訪問路由器,找到其中的路由表,增加一個路由表:
IP:192.168.3.0 子網掩碼:255.255.255.0 網關設為:192.168.1.1
保存退出後,把所有區域網內的機器子網掩碼設為255.255.255.0,
網關設為192.168.1.1
然後試試通過http://192.168.3.1或http://192.168.3.2訪問試試
當然,你如果有帶路由的modem也能實現上述功能,連接有點不一樣,應該為:
modem---網路A---網路B或接在網路B上也行,其它設置跟路由器一樣
ftp伺服器如果是同一台就不用設置,如果不是的請把它設為192.168.3.x
如果想兩個網路互聯互通,只需要把伺服器IP改成原本網段的IP,然後把路由表改成:
192.168.0.0 255.255.255.0 192.168.1.1
就行了,一般路由器裡面會有一個本來的表
192.168.1.0 255.255.255.0 192.168.1.1
如果沒有上述表,請添加!
其實還有很多方法,比如說不增加硬體成本的基礎上,把其中一台電腦做軟體路由,但實現比這個要復雜,而且不如這個穩定,那台電腦還得必須保持隨時開啟才能實現,所以不推薦使用
原來你是家庭路由器,那麼你現在的功能是基本上無法實現的。
因為家庭路由的工作原理是WAN口做為網關出口,內部數據包找不到的地址都會傳給路由器由WAN口發出去。
你現在B,C路由PING路由A的時候默認交給各自WAN口,也就是通過HUB到了A當然就能PING通,而當B,C互PING的時候由於他們相互之間不知道對方區域網地址,所以交給他們的網關,
也就是從各自WAN口發出到A,
但是由於A此時也不能直接知道B,C內部網段,所以A也通過它自己的WAN口發到外部網路去了,當然就PING不通了。
還有一點,家庭路由器在內網到外網的過程中是使用了NAT地址轉換的。對於一個家庭路由器外部而言是無法找到內部主機是什麼地址的,除非你使用埠映射。
㈨ 請問,在防火牆中和路由器中如何設置才能訪問FTP
先說IIS6的FTP主程序吧。不太清楚你說的主程序的意思。我對你所說的問題的理解是,在開始-程序中怎麼有沒有IIS6的FTP設置和管理工具是吧?
IIS的FTP的管理就是在IIS管理器中進行的,如圖1紅框處。如果你發現你的IIS管理器中沒有這一項是因為,IIS6在默認安裝時並不安裝FTP組件,需要手工添加,你需要在控制面板--添加刪除程序--添加刪除windows組件中添加上。如圖2。
再說主動模式和被動模式。
主動模式的連接過程是這樣的,首先客戶隨機埠連接伺服器21埠,然後伺服器通過20埠連接客戶機剛剛那個隨機埠傳數據。整個過程中伺服器只要開放TCP 20和21就可以
被動模式的連接過程是這樣的:首先客戶隨機埠連接伺服器21埠,然後伺服器通過21埠告訴客戶機自己打開哪個埠傳數據(這個埠是個1025--5000的埠)最後客戶機連接伺服器的所告知的埠。這個過程中伺服器除了要開放21埠外,還要開放1025--5000的所有埠才行,如果這樣開放就不是防火牆了。
這就是為什麼你開了防火牆的20 21,客戶端要設置為主動模式才能訪問的原因。
㈩ 請問,我現在在公司內部用server-U建設了一個FTP。怎麼才可以做到外內網都可訪問,需詳細步驟。
如果你們使用ASDL上網的話在購買個動態IP服務就可以了
如果不是的話不可能實現,你沒許可權去埠映射,現在也沒有任何一款軟體能穿透內網
最好還是購買公網的FTP
有什麼問題或有需要隨時找我