cấu hình ACL hiện tại của bạn là như thế nào?

Chào anh, hiện nay trên con Router 3845 em chưa cấu hình gì về ACLs cả, nhưng em muốn cấu hình như trên, anh có thể giúp em được ko? Cảm ơn anh nhiều.

Router(config)#access-list 100 permit tcp A.B.C.D 0.0.0.0 any eq 80
Router(config)#access-list 100 permit icmp A.B.C.D 0.0.0.0 any echo

Apply chiều IN trên cổng S0/0/1

Router(config)#int s0/0/1
Router(config-if)#ip access-group 100 in

Cảm ơn bạn danghoangkhanh, nhưng hiện giờ mình lại gặp vấn đề như sau: Mình muốn tạo ACLs như trên nhưng thêm vào đó là có thể remote đến host đó. Mình xin copy cho bạn xem:

access-list 100 permit tcp host 172.16.6.2 any eq www
access-list 100 permit icmp host 172.16.6.2 any echo
access-list 100 permit tcp host 172.16.6.2 any eq 1521
access-list 101 permit ip any any

interface Serial0/1/1
ip address 192.168.6.1 255.255.255.0
ip access-group 100 in
ip access-group 101 out

Chắc nhìn như vậy bạn hiểu, ý mình là trên S0/1/1 chỉ cho phép inbound từ máy 172.16.6.2 cổng 80, ping và 1521; và từ mạng bất kỳ có thể có chiều outbound bất kỳ. Nhưng xảy ra tình trạng ko thể thực hiện được, nếu bỏ "ip access-group 100 in" thì có thể remote đến máy 172.16.6.2 được ngay; còn nếu chỉ bỏ "ip access-group 101 out" thì mới truy cập được vào web của máy 172.16.6.2. Tức là ko cùng tồn tại cả chiều IN và OUT trên cùng 1 cổng được. Vậy bạn có thể giúp mình được ko?

Cảm ơn bạn rất nhiều. Nếu bạn chưa hiểu mình sẽ giải thích thêm (văn mình hơi kém).

chà, đọc hoài vẫn không hiểu bạn muốn nói gì.
thế này đi, bây giờ bạn chỉ cần nêu ra yêu cầu của bạn là gì, sau đó mình sẽ giúp bạn define access-list để đáp ứng yêu cầu của bạn :).

OK vậy mình sẽ chỉ ra các yêu cầu của mình trên Router 3845:

- Chỉ cho phép chiều từ ngoài vào trong từ địa chỉ 172.16.6.2 trên Int S0/1/1, chỉ cho phép cổng 80, 1521 và ping.
- Chỉ cho phép remote (cổng 3389) chiều từ trong ra ngoài trên Int S0/1/1 từ địa chỉ 10.0.0.0/24.
-Deny các thứ còn lại.

Đó chính xác là yêu cầu của mình, bạn có thể giúp mình ko?

ok, rất rõ ràng, bạn cấu hình access-list như sau:
config t
ip access-list extended ACL_IN
permit tcp host 172.16.6.2 any eq 80
permit tcp host 172.16.6.2 any eq 1521
permit icmp host 172.16.6.2 any echo
permit tcp any eq 3389 10.0.0.0 0.0.0.255
deny ip any any
ip access-list extended ACL_OUT
permit tcp 10.0.0.0 0.0.0.255 any eq 3389
permit icmp any host 172.16.6.2 echo-reply
permit tcp any eq 1521 host 172.16.6.2
permit tcp any eq 80 host 172.16.6.2
deny ip any any
!
interface s0/1/1
ip access-group ACL_IN in
ip access-group ACL_OUT out
!
end
wr

Note:
Cấu hình cách trên chỉ là packet filter, để có tính năng statefull-firewall tốt hơn bạn nên cấu hình IOS firewall
tham khảo link: http://www.cisco.com/en/US/products/...ples_list.html

Oh mình đã làm theo hướng dẫn của bạn binhhd, cảm ơn bạn nhiều. Tuy nhiên mình ko hiểu echo và echo-reply khác nhau như thế nào. Bây giờ mình muốn ping được cả 2 chiều nên mình đã sửa lại là

ip access-list extended ACL_OUT
permit tcp 10.0.0.0 0.0.0.255 any eq 3389
permit icmp any host 172.16.6.2 echo-reply
permit tcp any eq 1521 host 172.16.6.2
permit tcp any eq 80 host 172.16.6.2

thành

ip access-list extended ACL_OUT
permit tcp 10.0.0.0 0.0.0.255 any eq 3389
permit icmp any host 172.16.6.2 echo
permit tcp any eq 1521 host 172.16.6.2
permit tcp any eq 80 host 172.16.6.2

nhưng ko được. Bạn có thể giải thích hộ mình ko? Thanks.

hi whitedead,
trong giao thức ICMP, khi PC1 ping PC2, PC1 sẽ gởi gói ICMP Echo (đầy đủ là: ICMP Echo Request), PC2 nhận được ICMP Echo từ PC1 sẽ gởi trả về PC1 gói ICMP Echo Reply. Do đó như ở trên bạn thấy 1 Access-list phải "permit" ICMP Echo (Echo Request) và access-list chiều ngược lại phải "permit" ICMP Echo Reply lúc đó 2 "đứa" mới Ping thấy nhau :)

Aha mình thật là ngốc, cảm ơn bạn rất nhiều. Mình sẽ cấu hình thêm để ping và reply được từ cả 2 chiều. Cảm ơn binhhd nhé.