kidd2131 2022-03-11 14:35 采纳率: 100%
浏览 23
已结题

关于扩展ACL的方向问题

img

最近在看教材时发现书中一实例:
要求通过扩展ACL禁止销售部和市场部访问财务部的ftp服务,但是可以访问其他服务及上网,ACL我会配置,但是书中实验是将ACL应用到F0/1/2的out方向。
请问为什么不将ACL部署到F0/1/2的in方向,这样检测完后丢弃数据包,还能减少开销?

  • 写回答

1条回答 默认 最新

  • IT民工金鱼哥 新星创作者: 运维技术领域 2022-03-11 15:15
    关注

    首先明白数据包对于端口in和out的方向先,如下图:

    img

    之后需求是,禁止销售部和市场部访问财务部的ftp服务,那肯定是 out的方向,因为数据包 请求是请从两边过来的啊,
    如果in,那请求包就会过去了,回包时,你要阻止,那规则就不一定一样设置了,什么意思?
    就是,你禁止了某个端口访问,那设置在out,就可以一开头就阻止了,但你在回包时,那,你是规则是如何设置?不是不可以设置,是复杂很多了,

    所以很多规则究竟是in 还是 out,看具体使用场景。

    本回答被题主选为最佳回答 , 对您是否有帮助呢?
    评论

报告相同问题?

问题事件

  • 系统已结题 3月19日
  • 已采纳回答 3月11日
  • 创建了问题 3月11日