如果你的防火墙就应用到2个接口那可以这么写
1.只开放外部的192.168.70.0和10.16.131.0两个网段对内部的访问
access-list 101 ex permit ip 192.168.70.0 255.255.255.0 any
access-list 101 ex permit ip 10.16.131.0 255.255.255.0 any
以上两条可培稿腊以满足第一个需求,但是不安全,外部的这2个地址段可以访问任何东西了,要做限制可以把any改为某个固定访问地址段或某个主机地址
2.内部对192.168.70.0开放 4321 4322;内部对10.16.131.0开放5519 5520端口
access-list 101 ex permit tcp 192.168.70.0 255.255.255.0 any range 4321 4322
access-list 101 ex permit tcp 10.16.131.0 255.255.255.0 any range 5519 5520
同样你可以把any改为特定地址段或某个主机地址
3.内部所有服务器开放web服务
这个需求不是路由器上配置,所有服务器开启敬裂web服务是服务器上配置的,如果你指的是外部访问内部服配滑务器的80或8080端口的话,命令如下:
access-list 101 ex permit tcp any any eq www
同样里面第一个any是外部地址段或某个主机,第二个any是服务器地址段或主机
最后调用ACL
access-group 101 in int outside
希望对你有用
如果想调用在外部接口,在全孝哪局下
access-group 101 in interface E0/0
ASA的ACL调用都是全悔梁局配置模式下的,碧慎运不用在接口下
access-list 101 extended permit tcp host 192.168.70.0 host 192.168.3.0 eq 4321
在那个口执行呢
内容全部来源于网络收集,如有侵权,请联系网站删除:QQ:24596024