端口映射,让外网访问内网服务器 思科
随便给你举个例子,你在你的出口路由器上做这个映射,表示如果你访问外网115001的8080端口的话,可以映射到你内网1921681100的80端口上。static表示这是静态映射,tcp表示连接是tcp连接。然后你还得在对应的内外网接口上分别加上命令ip nat inside(outside)
Router(config)#ip nat inside source static tcp 1921681100 80 115001 8080
cisco路由器做nat是不允许用外网IP访问内部的服务器的,如果是pix还可以用alias这样的命令,不过路由器上不行的。可行的办法是自己建一个dns服务器,解析服务器的域名到内部IP,其他的向上转发到运营商的dns,让公司的电脑的dns使用内部dns服务器。
打开本地安全设置,点“IP安全策略,在本地机器”——>创建IP安全策略---->下一步---->名称随便写,如输入阻止,然后一直点下一步,出现提示点是,一直到完成,这个时候就创建了一个名为“阻止”的策略了
下面点“IP安全策略,在本地机器”——>管理IP筛选器表和筛选器操作---->点添加---->名称添7515625(为了识别最好填写对应的IP段)---->点添加---->下一步---->源地址选择一个特定的IP子网,IP输入75156250 子网掩码改为2552552550---->下一步---->目标地址选择我的IP地址---->下一步---->协议类型为任意---->下一步---->完成 全部关闭
下面点我们开始建立的名为“阻止”的策略,点属性---->填加---->下一步---->下一步网络类型选择所有网络连接---->下一步---->出现提示点是---->到IP筛选列表,点中我们刚才创建的名为7515625的选项---->下一步---->选择阻止---->下一步到完成、关闭
最后点“阻止”这个策略,右键,指派,到这里为止我们就已经阻止了7515625开头的网段了,当然也阻止了7515625192这个IP的攻击了,如还要封其他IP的攻击同样操作即可
1 登陆到cisco路由器,配置如下命令
2 router#(config)access-list 100 deny tcp host 10111 any eq www
router#(config)access-list 100 permit ip any any
Router(config)#int fa0/1
Router(config-if)#ip access-group 100 in
注释:10111 2552552550 为PC的ip地址
int fa0/1为pc连接路由器的接口。
0条评论