帮我解决一个h3c acl的问题
353.一台MSR路由器通过S1/0接口连接Internet,GE0/0接口连接局域网主机,局域网主机所在网段为10.0.0.0/8,在Internet上有一台IP地址为...
353. 一台MSR路由器通过S1/0接口连接Internet,GE0/0接口连接局域网主机,局域网主机所在网段为10.0.0.0/8,在Internet上有一台IP地址为202.102.2.1的FTP服务器。通过在路由器上配置IP地址和路由,目前局域网内的主机可以正常访问Internet(包括公网FTP服务器),如今在路由器上增加如下配置:firewallenable
aclnumber 3000
rule 0 deny tcp source 10.1.1.1 0 source-porteq ftp destination 202.102.2.1 0
然后将此ACL应用在GE0/0接口的inbound和outbound方向,那么这条ACL能实现下列哪些意图?
A. 禁止源地址为10.1.1.1的主机向目的主机202.102.2.1发起FTP连接
B. 只禁止源地址为10.1.1.1的主机到目的主机202.102.2.1的端口为TCP21的FTP控制连接
C. 只禁止源地址为10.1.1.1的主机到目的主机202.102.2.1的端口为TCP20的FTP数据连接
D. 对从10.1.1.1向202.102.2.1发起的FTP连接没有任何限制作
答案是D,请问为什么? 展开
aclnumber 3000
rule 0 deny tcp source 10.1.1.1 0 source-porteq ftp destination 202.102.2.1 0
然后将此ACL应用在GE0/0接口的inbound和outbound方向,那么这条ACL能实现下列哪些意图?
A. 禁止源地址为10.1.1.1的主机向目的主机202.102.2.1发起FTP连接
B. 只禁止源地址为10.1.1.1的主机到目的主机202.102.2.1的端口为TCP21的FTP控制连接
C. 只禁止源地址为10.1.1.1的主机到目的主机202.102.2.1的端口为TCP20的FTP数据连接
D. 对从10.1.1.1向202.102.2.1发起的FTP连接没有任何限制作
答案是D,请问为什么? 展开
1个回答
展开全部
D.是正确的。
rule 0 deny tcp source 10.1.1.1 0 source-porteq ftp destination 202.102.2.1 0
定义的是源地址10.1.1.1的FTP协议到目的地址202.102.2.1
此下发在内网接口的in和out方向。但是只有in的方向的策略才好使,因为源地址是内网的地址。out方向不起作用。
10.1.1.1发起的ftp连接时,计算机自己的端口是不固定的,对方的端口才是ftp端口。所以此acl也没有意义。如果是
rule 0 deny tcp source 10.1.1.1 0 destination 202.102.2.1 0 source-porteq ftp
这样的话,才是访问不了对方的ftp
rule 0 deny tcp source 10.1.1.1 0 source-porteq ftp destination 202.102.2.1 0
定义的是源地址10.1.1.1的FTP协议到目的地址202.102.2.1
此下发在内网接口的in和out方向。但是只有in的方向的策略才好使,因为源地址是内网的地址。out方向不起作用。
10.1.1.1发起的ftp连接时,计算机自己的端口是不固定的,对方的端口才是ftp端口。所以此acl也没有意义。如果是
rule 0 deny tcp source 10.1.1.1 0 destination 202.102.2.1 0 source-porteq ftp
这样的话,才是访问不了对方的ftp
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
推荐律师服务:
若未解决您的问题,请您详细描述您的问题,通过百度律临进行免费专业咨询
