允许防火墙:
Quidway(config)# firewall enable
设置防火墙缺省过滤方式为允许包通过:
Quidway(config)# firewall default permit
配置访问规则禁止所有包通过:
Quidway(config)# access-list 100 deny ip any any
配置规则允许特定主机(129.38.1.4)访问外部网,允许内部服务器访问外部网:
Quidway(config)# access-list 101 permit ip 129.38.1.4 0 any
Quidway(config)# access-list 101 permit ip 129.38.1.1 0 any
Quidway(config)# access-list 101 permit ip 129.38.1.2 0 any
Quidway(config)# access-list 101 permit ip 129.38.1.3 0 any
配置规则允许特定用户从外部网访问内部服务器:
Quidway(config)# access-list 102 permit tcp 202.39.2.3 0 202.38.160.1 0
配置规则允许特定用户从外部网取得数据(只允许端口号大于1024的包):
Quidway(config) # access-list 102 permit tcp any 202.38.160.1 0 gt 1024
Quidway(config) # access-list normal 102 deny ip any any
将规则100 作用于从接口 Ethernet0 进入的包:
Quidway(config)# interface ethernet 0
Quidway(config-if-Ethernet0)# ip access-group 100 in
将规则101 作用于从接口 Ethernet0 进入的包:
Quidway(config-if-Ethernet0)#ip access-group 101 in
将规则102 作用于从接口 Serial0 进入的包:
Quidway(config-if-Serial0)# ip access-group 102 in
在接口 Serial0上作地址转换:
Quidway(config-if-Serial0)# nat enable
在全局模式下配置 Nat server :
natserver ftphost 129.38.1.1
natserver telnethost 129.38.1.2
natserver wwwhost 129.38.1.3