acl過濾ftp

『壹』 怎麼用ACL能讓一個100網段用FTP其他網段不能訪問，但是能訪問web網站

將acl掛在在連接FTP伺服器的交換機埠出口方向 acl里先放行100網段 然後拒絕所有

『貳』 通過ACL,限制VLAN20,僅允許訪問VLAN2的FTP服務

vlan20 的網段：192.168.1.0 255.255.255.0 ftp伺服器：192.168.2.3
路由器f0/2接交換機，f0/1接ftp伺服器
Router(config)#access-list 100 permit tcp 192.168.1.0 0.0.0.255 eq 21 192.168.2.3 0.0.0.255
Router(config)#int f0/2
Router(config-if)#ip access-group 100 in 應用到介面

『叄』 h3c怎麼使用acl來匹配ftp流量

可用高級ACL來實現

comware v5設備可用如下配置：
sys
acl n 3000
ru 0 per tcp source an destination-port eq 21
ru 1 per tcp source an destination-port eq 20
ru 2 per tcp source an destination-port eq 53(可選配置)
ru 3 deny ip source any destination any
fiirwall enable
int g 0/0/0
firewall packet 3000 in
comware v7設備可用如下配置：
sys
acl ad 3000
ru 0 per tcp source an destination-port eq 21
ru 1 per tcp source an destination-port eq 20
ru 2 per tcp source an destination-port eq 53(可選配置)
ru 3 deny ip source an destination any
int g 0/0
packet-filter 3000 in

『肆』 怎麼用ACL能讓一個網段用FTP其他網段不能訪問，

首先，你需要購置一台路由器，路由器很便宜的，通常幾十到一百都能買到。
我們先假設網路A的網段為192.168.0.x，網路B的網段為192.168.1.x，路由器地址為192.168.1.1，A的HTTP伺服器設為192.168.3.1，B的HTTP伺服器地址設為192.168.3.2，下面開始工作：
通過路由器把兩個網段的網路連接起來，接入兩個網路的交換機即可，如下
網路A---路由器---網路B（注意不能插在路由器的WAN口）
通過網路B的機器訪問路由器，找到其中的路由表，增加一個路由表：
IP：192.168.3.0 子網掩碼：255.255.255.0 網關設為：192.168.1.1
保存退出後，把所有區域網內的機器子網掩碼設為255.255.255.0，
網關設為192.168.1.1
然後試試通過http://192.168.3.1或http://192.168.3.2訪問試試
當然，你如果有帶路由的modem也能實現上述功能，連接有點不一樣，應該為：
modem---網路A---網路B或接在網路B上也行，其它設置跟路由器一樣
ftp伺服器如果是同一台就不用設置，如果不是的請把它設為192.168.3.x
如果想兩個網路互聯互通，只需要把伺服器IP改成原本網段的IP，然後把路由表改成：
192.168.0.0 255.255.255.0 192.168.1.1
就行了，一般路由器裡面會有一個本來的表
192.168.1.0 255.255.255.0 192.168.1.1
如果沒有上述表，請添加！
其實還有很多方法，比如說不增加硬體成本的基礎上，把其中一台電腦做軟體路由，但實現比這個要復雜，而且不如這個穩定，那台電腦還得必須保持隨時開啟才能實現，所以不推薦使用

原來你是家庭路由器，那麼你現在的功能是基本上無法實現的。
因為家庭路由的工作原理是WAN口做為網關出口，內部數據包找不到的地址都會傳給路由器由WAN口發出去。
你現在B,C路由PING路由A的時候默認交給各自WAN口，也就是通過HUB到了A當然就能PING通，而當B，C互PING的時候由於他們相互之間不知道對方區域網地址，所以交給他們的網關，
也就是從各自WAN口發出到A，
但是由於A此時也不能直接知道B,C內部網段，所以A也通過它自己的WAN口發到外部網路去了，當然就PING不通了。

還有一點，家庭路由器在內網到外網的過程中是使用了NAT地址轉換的。對於一個家庭路由器外部而言是無法找到內部主機是什麼地址的，除非你使用埠映射。

『伍』 內網中，三層交換機下配置ACL已達到阻止某網段訪問FTP伺服器的方法（其他網段不阻止），命令越具體越好。

例如：三層交換機上f0/1介面上連接的是FTP伺服器 FTP伺服器IP地址是：192.168.1.1 條目：阻止192.168.2.0網段訪問FTP伺服器sw(config)#access-list 101 deny tcp 192.168.2.0 0.0.0.255 host 192.168.1.1 eq 21 sw(config)#int f0/1sw(config-if)#ip access-group 101 in

『陸』 為什麼ftp要求acl定義兩個埠

摘要 一個是數據埠，一個是控制埠，控制埠一般為21，而數據埠不一定是20，這和FTP的應用模式有關，如果是主動模式，應該為20，如果為被動模式，由伺服器端和客戶端協商而定

『柒』 怎麼通過ACL來匹配FTP_DATA報文呢

控制發生在數據之前，如果是為了限制數據，不如直接限制控制，讓他登不上不好么？

『捌』 H3C 怎麼配置acl才能禁止區域網內的設備訪問外部公共網路，或者只能使用FTP服務。

一般需要在路由器上配置，FTP用的埠是TCP 21和TCP 22。你用路由器的防火牆配置，只開放這兩個埠應該就可以的。
或者部署一台上網行為管理，比如WFilter這樣的產品，可以基於應用協議來配置上網策略。