permit gre any any 如不美观不这样的话,外发的pptp vpn无法工作
) r+ F, q. L2 z3 {) @ permit icmp any any echo+ Q, `! E D3 n* M; Y3 ?0 }
准许ping入. 注重,如不美观你想要连结奥秘,请不要使用此功能。3 f/ k! w' P, Y6 Q8 M
permit icmp any any echo-reply& x" w$ k9 L1 H. ~) Z
准许ping出$ L" j5 e: C9 w2 H1 B# t
permit icmp any any traceroute* M) i' D, L6 F" N9 d
准许 traceroute
; O3 s% S# L1 M8 E deny ip any any log
% \% J3 ^: e5 W0 C5 w* G 如不美观你想记实所拒绝的进入狡计功能,这条呼吁就很有用。6 o1 E) q1 |. W, t; M+ f
ip access-list extended natacl% I$ m% r+ C, c) ^5 r3 `& {: w
界说一个称为natacl的扩展acl,用于实现nat* m0 l$ ?. V3 p0 p( y
permit ip 192.168.100.0 0.0.0.255 any
3 J2 E! q1 W' s0 Z 准许192.168.100.0/24达到已经进行了收集地址转换的任何处所。
2 L+ M0 T+ I3 X$ H6 j2 i/ U& } exit
5 o4 q O% s7 z* f 退出 natacl acl I5 z( l4 T, l
exit+ @* J! s- F/ M* e7 u2 k
退出全局设置装备摆设模式- y$ |9 t' i+ R5 M3 V! Y2 v
wr mem
4 T; {1 ^" _* P5 I8 ]0 O 将设置装备摆设改变写往永远性闪存
7 \# e% d) t1 b* @# X 以上是笔者在进修ios防火墙设置装备摆设过程中的一点儿体味,但愿这些轨范有助于增强平安防御功能。当然不能完全依烂魅这些工具。 |