报文是流向路由器的。如果我们将访问
表应用成向外的访问,则过滤的报文将是离开串行接口而通往I n t e r n e t的报文,
而这并非我们所希望的。另外,我们还建立了一个用户名“ t e s t”,它可以用来访
问路由器。在实际应用中,我们应该为每个用户建立一对用
户名和口令。现在,让我们再分析访问表的每一个表项。
第一个表项允许从任何源I P地址来的报文到达主机1 7 5 . 1 0 . 1 . 1,如果其目标
端口为t e l n e t(2 3)的话。这样,我们实际上允许了向内的t e l n e t连接到路
由器的串行接口。我们可以允许向内的t e l n e t,连接到路由器的其他I P地址,但
只允许向内访问路由器的串行接口是一种最佳的选择。
第二个表项允许从任何源I P地址来的报文,如果其源端口是域名系统( domain
namesystem, DNS)(UDP 53),且目标网络位于2 0 5 . 1 3 1 . 1 7 5 . 0 / 2 4,
目的端口大于1 0 2 3的话。这将允许D N S应答到达2 0 5 . 1 3 1 . 1 7 5 . 0 / 2
4网络。所有有效D N S请求的源端口应该为1 0 2页码:[1] [2] [3] [4] [5] [6] [7] 第3页、共7页 |
