㈠ 怎么用ACL能让一个100网段用FTP其他网段不能访问,但是能访问web网站
将acl挂在在连接FTP服务器的交换机端口出口方向 acl里先放行100网段 然后拒绝所有
㈡ 华为防为墙如何配置ftp
配置FW作为FTP服务器
介绍配置FW作为FTP服务器的方法。
操作步骤
执行命令system-view,进入系统视图。
执行命令ftp server enable,启动FTP服务器。
创建FTP管理员。
执行命令aaa,进入AAA视图。
执行命令manager-useruser-name,配置管理员账号并进入管理员视图。
执行命令password[ciphercipher-password],配置管理员账号对应的密码。
说明:
荐采用交互式方式创建管理员密码,通过ciphercipher-password配置密码时存在密码泄露的危险。
执行命令levellevel,配置管理员的级别。
说明:
为了保证管理员能正常登录设备,请将管理员级别配置在3级或3级以上。
执行命令service-typeftp,配置管理员拥有的服务类型为FTP。
执行命令ftp-directorydirectory,配置管理员账号的FTP服务目录。
执行命令access-limitmax-number,配置使用本管理员账号同时可登录的最大管理员数量。
执行命令quit,退回到AAA视图。
执行命令quit,退回到系统视图。
可选:执行命令ftp timeoutminutes,配置FTP服务器超时断连时间。
为了防止未授权者的非法入侵,如果在一定时间内没有收到FTP管理员的服务请求,则系统会断开与该FTP客户端的连接。当FTP管理员再需要服务时,需要重新进行登录操作。
缺省情况下,系统的连接空闲时间为30分钟。
可选:配置FTP的访问控制列表。
通过配置FTP访问控制列表,可提高FTP服务器的安全性。
执行命令acl[number]acl-number[vpn-instancevpn-instance],进入ACL视图。
说明:
FTP只支持基本访问控制列表,因此acl-number的取值范围是2000~2999。
执行命令rule[rule-id] {deny|permit} [logging|source{source-ip-address soucer-wildcard|any} |time-rangetime-name],配置ACL规则。
执行命令quit,退回到系统视图。
执行命令ftp aclacl-number,配置FTP基本访问控制列表。
㈢ p配置扩展ipacl中应用acl时无法访问服务器ftp的原因
如果你在服务器接口的in方向加策略,那就错了,因为服务器在反馈服务请求的时候,它是不会用FTP的端口回复的,而是随机端口;正确的做法是在连接服务器端口的out方向加策略允许其他网段访问该服务器的FTP端口,华为的命令不熟,大体意思是这样的,你自己翻翻资料吧
in方向是不行的,因为in方向是指从服务器发出的数据包,这样,它的端口号不是ftp的20、21,而是一个随机的端口号,如果华为的交换机只有in方向的访问控制列表的话,你可以把列表放在交换机上联接口的in方向上。
㈣ 内网中,三层交换机下配置ACL已达到阻止某网段访问FTP服务器的方法(其他网段不阻止),命令越具体越好。
例如:三层交换机上f0/1接口上连接的是FTP服务器 FTP服务器IP地址是:192.168.1.1 条目:阻止192.168.2.0网段访问FTP服务器sw(config)#access-list 101 deny tcp 192.168.2.0 0.0.0.255 host 192.168.1.1 eq 21 sw(config)#int f0/1sw(config-if)#ip access-group 101 in
㈤ 通过ACL,限制VLAN20,仅允许访问VLAN2的FTP服务
vlan20 的网段:192.168.1.0 255.255.255.0 ftp服务器:192.168.2.3
路由器f0/2接交换机,f0/1接ftp服务器
Router(config)#access-list 100 permit tcp 192.168.1.0 0.0.0.255 eq 21 192.168.2.3 0.0.0.255
Router(config)#int f0/2
Router(config-if)#ip access-group 100 in 应用到接口
㈥ 此拓扑结构如何利用ACL实现只允许行政楼访问FTP,而其他服务不受影响
不太明白你问题中“其他服务不受影响”是什么意思。
如果我理解为:行政楼可以访问FTP,行政楼不能访问其他服务器(但要求行政楼可以上网和访问其他单位),而其他地方可以访问所有服务器也能上网也能访问其他单位。
如果是这样,解法如下:
在R1上(2811路由器)
acc 101 permit tcp 192.168.0.0 0.0.0.255 host 192.168.1.5 eq 21
acc 101 deny ip 192.168.0.0 0.0.0.255 any
acc 101 permit ip any any
inter f0/1(2811路由器的右边接口)
ip access-group 101 out
不知这样能否帮到你
㈦ acl如何设置只允许某个网段(192.168.10.0/24)访问服务器192.168.50.2
1.实现阻止192.168.1.0/24网段主机访问192.168.8.8/24这台服务器的FTP服务:
access-list
100
deny
tcp
192.168.1.0
0.0.0.255
host
192.168.8.8
eq
21
2.其他服务都能正常:
access-list
100
permit
ip
any
any
3.加载在路由器的F0/0:
interface
f0/0
ip
access-group
100
in
㈧ 怎么用ACL能让一个网段用FTP其他网段不能访问,
首先,你需要购置一台路由器,路由器很便宜的,通常几十到一百都能买到。
我们先假设网络A的网段为192.168.0.x,网络B的网段为192.168.1.x,路由器地址为192.168.1.1,A的HTTP服务器设为192.168.3.1,B的HTTP服务器地址设为192.168.3.2,下面开始工作:
通过路由器把两个网段的网络连接起来,接入两个网络的交换机即可,如下
网络A---路由器---网络B(注意不能插在路由器的WAN口)
通过网络B的机器访问路由器,找到其中的路由表,增加一个路由表:
IP:192.168.3.0 子网掩码:255.255.255.0 网关设为:192.168.1.1
保存退出后,把所有局域网内的机器子网掩码设为255.255.255.0,
网关设为192.168.1.1
然后试试通过http://192.168.3.1或http://192.168.3.2访问试试
当然,你如果有带路由的modem也能实现上述功能,连接有点不一样,应该为:
modem---网络A---网络B或接在网络B上也行,其它设置跟路由器一样
ftp服务器如果是同一台就不用设置,如果不是的请把它设为192.168.3.x
如果想两个网络互联互通,只需要把服务器IP改成原本网段的IP,然后把路由表改成:
192.168.0.0 255.255.255.0 192.168.1.1
就行了,一般路由器里面会有一个本来的表
192.168.1.0 255.255.255.0 192.168.1.1
如果没有上述表,请添加!
其实还有很多方法,比如说不增加硬件成本的基础上,把其中一台电脑做软件路由,但实现比这个要复杂,而且不如这个稳定,那台电脑还得必须保持随时开启才能实现,所以不推荐使用
原来你是家庭路由器,那么你现在的功能是基本上无法实现的。
因为家庭路由的工作原理是WAN口做为网关出口,内部数据包找不到的地址都会传给路由器由WAN口发出去。
你现在B,C路由PING路由A的时候默认交给各自WAN口,也就是通过HUB到了A当然就能PING通,而当B,C互PING的时候由于他们相互之间不知道对方局域网地址,所以交给他们的网关,
也就是从各自WAN口发出到A,
但是由于A此时也不能直接知道B,C内部网段,所以A也通过它自己的WAN口发到外部网络去了,当然就PING不通了。
还有一点,家庭路由器在内网到外网的过程中是使用了NAT地址转换的。对于一个家庭路由器外部而言是无法找到内部主机是什么地址的,除非你使用端口映射。
㈨ 请问,在防火墙中和路由器中如何设置才能访问FTP
先说IIS6的FTP主程序吧。不太清楚你说的主程序的意思。我对你所说的问题的理解是,在开始-程序中怎么有没有IIS6的FTP设置和管理工具是吧?
IIS的FTP的管理就是在IIS管理器中进行的,如图1红框处。如果你发现你的IIS管理器中没有这一项是因为,IIS6在默认安装时并不安装FTP组件,需要手工添加,你需要在控制面板--添加删除程序--添加删除windows组件中添加上。如图2。
再说主动模式和被动模式。
主动模式的连接过程是这样的,首先客户随机端口连接服务器21端口,然后服务器通过20端口连接客户机刚刚那个随机端口传数据。整个过程中服务器只要开放TCP 20和21就可以
被动模式的连接过程是这样的:首先客户随机端口连接服务器21端口,然后服务器通过21端口告诉客户机自己打开哪个端口传数据(这个端口是个1025--5000的端口)最后客户机连接服务器的所告知的端口。这个过程中服务器除了要开放21端口外,还要开放1025--5000的所有端口才行,如果这样开放就不是防火墙了。
这就是为什么你开了防火墙的20 21,客户端要设置为主动模式才能访问的原因。
㈩ 请问,我现在在公司内部用server-U建设了一个FTP。怎么才可以做到外内网都可访问,需详细步骤。
如果你们使用ASDL上网的话在购买个动态IP服务就可以了
如果不是的话不可能实现,你没权限去端口映射,现在也没有任何一款软件能穿透内网
最好还是购买公网的FTP
有什么问题或有需要随时找我