|
|
|
|
|
|
|
|
个问题:路由器既然已经deny了外网进来的所有流量,那么它是怎么允许内网出去的返回流量进来呢?
它是通过创建动态生成的ACL来允许返回流量的,下面看看show access-list的结果:
……
Reflexive IP access list icmp_traffic
permit icmp host 192.1.1.2 host 10.1.1.2 (24 matches) (time left 196)
……
这些动态ACL可通过TCP的FIN/RST包来动态自动消除,对ICMP这样stateless的包来说,是通过内置的timer来消除的,这点可通过上述show access-list结果中的(time left 196)来核实。
最后再说说那另一个测试,也就是两个ACL中加的多余的东西:
ip access-list extended outbound_filter
permit ip any any
页码:[1] [2] [3] [4] [5] [6] 第5页、共6页 |
|
|
|
|
设为首页 | 加入收藏 | 广告服务 | 友情链接 | 版权申明
Copyriht 2007 - 2008 © 科普之友 All right reserved |
