首页
关于本博客
友情链接
推荐
linux/shell
Search
1
LEDE官方固件安装中文语言包的方法
11,083 阅读
2
LEDE固件踢出弱信号客户端,实现WiFi无缝漫游脚本
9,170 阅读
3
基于CloudFlare API的纯Shell动态DNS(DDNS)脚本
8,142 阅读
4
一次OpenVPN交叉编译笔记
6,651 阅读
5
利用iptables的string模块来屏蔽域名(关键词匹配)
6,101 阅读
study
OpenWrt/LEDE
网络技术
数通
HCNP/CCNP
linux
shell
CentOS
Ubuntu/Debian
php
Linux应用
C#
C/C++
虚拟化
IDC
杂项
MySQL
运维笔记
zabbix
seafile
openvpn
QEMU/KVM
windows
html
互联网应用
IP地址段汇总
登录
Search
标签搜索
nginx
openvpn
cloudflare
seafile
iptables
openwrt
openssl
SSH
linux
lede
letsencrypt
openvpn配置模板
ftp
nas
vsftpd
seafile服务器
Linux启动脚本
ddns
seafile网盘
CentOS
自渡
累计撰写
71
篇文章
累计收到
1
条评论
首页
栏目
study
OpenWrt/LEDE
网络技术
数通
HCNP/CCNP
linux
shell
CentOS
Ubuntu/Debian
php
Linux应用
C#
C/C++
虚拟化
IDC
杂项
MySQL
运维笔记
zabbix
seafile
openvpn
QEMU/KVM
windows
html
互联网应用
IP地址段汇总
页面
关于本博客
友情链接
推荐
linux/shell
搜索到
1
篇与
ACL
的结果
2017-10-03
H3C路由器使用ACL禁止外网Telnet和SSH
H3C-MSR系列路由器开局默认允许外网telnet和web管理,经过对大部分企业专线IP段扫描,发现大部分使用H3C路由器作为出口网关的中小企业,并未在出口路由器上配置ACL策略以屏蔽远程管理端口。由于大部分运营商已在上层路由屏蔽非IDC机房IP段的80,8080,445端口,所以只需在路由器上做ACL禁止外网或者仅允许指定IP进行Telnet和SSH。MSR系列大部分无法从WEB界面配置ACL,需要在命令行下进行配置。以下两种方法可达到禁止外网管理的目的。假设管理员vlan的IP段是172.31.255.0/24,ACL配置如下system-view[H3C]acl num 2100 [H3C-acl-basic-2100]rule 10 permit source 172.31.255.0 0.0.0.255[H3C-acl-basic-2100]rule 100 deny[H3C-acl-basic-2100]quit[H3C]user-interface vty 0 4[H3C-ui-vty-0-4]acl 2100 inbound[H3C-ui-vty-0-4]quit此方法可以禁止外网telnet或者ssh,但是从外网仍然可以扫描到主机开放的22,23端口,系统会产生大量来自世界各国的IP登录失败的日志。方法二:使用高级ACL来阻断外网的请求,假设企业出口固定IP为1.1.1.1system-view[H3C]acl num 3100[H3C-acl-adv-3100]rule 10 permit tcp source 172.31.255.0 0.0.0.255 destination-port eq 23[H3C-acl-adv-3100]rule 11 permit tcp source 172.31.255.0 0.0.0.255 destination-port eq 22[H3C-acl-adv-3100]rule 100 deny tcp destination 1.1.1.1 0 destination-port eq 23[H3C-acl-adv-3100]rule 110 deny tcp destination 1.1.1.1 0 destination-port eq 22[H3C-acl-adv-3100]quit[H3C]interface g0/0 #假设WAN口是GE0/0[H3C-GigabitEthernet0/0] acl 3100 inbound[H3C-GigabitEthernet0/0]quit[H3C]firewall enable[H3C]save方法二使用高级ACL可以完全阻断来自外网的telnet、ssh请求,可以使黑客无法扫描到端口。
2017年10月03日
4,763 阅读
0 评论
0 点赞