CiscoIOS认证：防火墙命令介绍（3）

会计考友

permit gre any any 　　如不美观不这样的话，外发的pptp vpn无法工作
　　permit icmp any any echo
' P. l; w3 D" z　　准许ping入.   注重，如不美观你想要连结奥秘，请不要使用此功能。
. z2 A' v$ ~* ~0 p$ ~　　permit icmp any any echo-reply
　　准许ping出
　　permit icmp any any traceroute
# p" r4 N) _/ U/ ~6 [& b+ M: w　　准许 traceroute
　　deny ip any any log
' I+ W! U$ y# q# |# n　　如不美观你想记实所拒绝的进入狡计功能，这条呼吁就很有用。
+ d$ a4 B) e0 v　　ip access-list extended natacl
/ U, f4 ]' j! u7 {" e; U' S　　界说一个称为natacl的扩展acl，用于实现nat
- U3 o3 ]% o. g1 H7 u  \　　permit ip 192.168.100.0 0.0.0.255 any
　　准许192.168.100.0/24达到已经进行了收集地址转换的任何处所。
3 E3 \: z$ p( }( L- v# R: w　　exit
; T: z+ R7 k0 o% }0 a" f: }' s0 U  H　　退出 natacl acl
! T0 ~1 O5 ]5 g　　exit
9 d' Q4 ]3 D6 n　　退出全局设置装备摆设模式
3 Z' c8 n( l/ g7 Y9 ?　　wr mem
, K3 L- x6 c& J5 O　　将设置装备摆设改变写往永远性闪存
　　以上是笔者在进修ios防火墙设置装备摆设过程中的一点儿体味，但愿这些轨范有助于增强平安防御功能。当然不能完全依烂魅这些工具。