目的:限制外部電腦連接本小區的192.168.0.1這臺主機的23(telnet)、80(www)、3128等Port.
前提:Router接內部網絡的接口是Ethernet0/1,每一個命令之後按Enter執行,以Cisco路由爲準。
步驟1、 在開始菜單中選擇運行,在彈出的對話框中輸入“cmd”並回車,出現窗口後,在提示符下連接路由器,指令格式爲“telnet 路由器IP地址”。當屏幕上要求輸入telnet password時 多數路由器顯示的是“Login”字樣 ,輸入密碼並確認無誤後,再輸入指令enable,屏幕上顯示要求輸入enable password時輸入密碼。
系統吧提示:這兩個密碼一般由路由器生產廠商或者經銷商提供,可以打電話查詢。
步驟2、 輸入指令Router# configure termihal即可進入路由器的配置模式,只有在該模式下才能對路由器進行設置。
步驟3、 進入配置模式後,輸入指令Router(config)#access -list 101 deny tcp any host 192.168.0.1 eq telnet,該指令的作用是設定訪問列表 access list ,該命令表示拒絕連接到IP地址爲192.168.0.1的主機的屬於端口Port 23(telnet)的任何請求。
步驟4、 輸入Router config #aecess -list 101 deny tcp any host 192.168.0.1 eq www 指令以拒絕來自任何地方對IP地址爲192.168.0.1的主機的屬於端口80(www)的請求。
步驟5、 最後需要拒絕的是來自任何地方對IP地址爲192.168.0.1的主機屬於端口3128的訪問,這需要輸入指令Router config #access list 101 deny tcp any host 192.168.0.1 eq 3128來完成。
步驟6、 到此,已經設置好我們預期的訪問列表了,但是,爲了讓其他的所有IP能夠順利訪問,我們還需要輸入Router config #aceess -list 101 permit ip any any來允許其他訪問請求。
但是,爲了讓路由器能夠執行我們所做的訪問列表,我們還需要把這個列表加入到接口檢查程序,具體操作如下:
輸入指令Router config #interface eO/1進入接口 interface ethernet 0/1,然後鍵入指令Router config-if #ip access-group 101 out 將訪問列表實行於此接口上。這樣一來,任何要離開接口的TCP封包,均須經過此訪問列表規則的檢查,即來自任何地方對IP地址爲192.168.0.1的主機,端口(port)屬於telnet(23),www(80),3128的訪問一律拒絕通過。最後,輸入指令write將設定寫入啓動配置,就大功告成了。
這樣一來,你的主機就安全多了,雖然只是禁止了幾個常用端口,但是能把不少搞惡作劇的人拒之門外。另外,如果看見有什麼端口可能會遭到攻擊或者有漏洞了,你也可以通過上面的方法來將漏洞堵住。