Cisco路由器:反向ACL
ip access-list extended REFLECTACLINevaluate FROMINSIDE
deny ip any any log
最重要的语句是evaluate,能自动根据FROMINSIDE这个反射ACL自动插入ACL来允许回包。
ip access-list extended REFLECTACLOUT
permit tcp any any reflect FROMINSIDE<<这是一条反射acl的写法,这个FROMINSIDE会自动创建,不需另外定义。
permit udp any any reflect FROMINSIDE
permit icmp any any reflect FROMINSIDE
可以在后面加上超时时间
permit tcp any any reflect FROMINSIDE timeout ?
<1-2147483>Maximum time to live in seconds
interface Dialer1
ip access-group REFLECTACLIN in
ip access-group REFLECTACLOUT out
这两条ACL需要挂在面向外部的接口上。
页:
[1]