acl过滤ftp

『壹』 怎么用ACL能让一个100网段用FTP其他网段不能访问，但是能访问web网站

将acl挂在在连接FTP服务器的交换机端口出口方向 acl里先放行100网段 然后拒绝所有

『贰』 通过ACL,限制VLAN20,仅允许访问VLAN2的FTP服务

vlan20 的网段：192.168.1.0 255.255.255.0 ftp服务器：192.168.2.3
路由器f0/2接交换机，f0/1接ftp服务器
Router(config)#access-list 100 permit tcp 192.168.1.0 0.0.0.255 eq 21 192.168.2.3 0.0.0.255
Router(config)#int f0/2
Router(config-if)#ip access-group 100 in 应用到接口

『叁』 h3c怎么使用acl来匹配ftp流量

可用高级ACL来实现

comware v5设备可用如下配置：
sys
acl n 3000
ru 0 per tcp source an destination-port eq 21
ru 1 per tcp source an destination-port eq 20
ru 2 per tcp source an destination-port eq 53(可选配置)
ru 3 deny ip source any destination any
fiirwall enable
int g 0/0/0
firewall packet 3000 in
comware v7设备可用如下配置：
sys
acl ad 3000
ru 0 per tcp source an destination-port eq 21
ru 1 per tcp source an destination-port eq 20
ru 2 per tcp source an destination-port eq 53(可选配置)
ru 3 deny ip source an destination any
int g 0/0
packet-filter 3000 in

『肆』 怎么用ACL能让一个网段用FTP其他网段不能访问，

首先，你需要购置一台路由器，路由器很便宜的，通常几十到一百都能买到。
我们先假设网络A的网段为192.168.0.x，网络B的网段为192.168.1.x，路由器地址为192.168.1.1，A的HTTP服务器设为192.168.3.1，B的HTTP服务器地址设为192.168.3.2，下面开始工作：
通过路由器把两个网段的网络连接起来，接入两个网络的交换机即可，如下
网络A---路由器---网络B（注意不能插在路由器的WAN口）
通过网络B的机器访问路由器，找到其中的路由表，增加一个路由表：
IP：192.168.3.0 子网掩码：255.255.255.0 网关设为：192.168.1.1
保存退出后，把所有局域网内的机器子网掩码设为255.255.255.0，
网关设为192.168.1.1
然后试试通过http://192.168.3.1或http://192.168.3.2访问试试
当然，你如果有带路由的modem也能实现上述功能，连接有点不一样，应该为：
modem---网络A---网络B或接在网络B上也行，其它设置跟路由器一样
ftp服务器如果是同一台就不用设置，如果不是的请把它设为192.168.3.x
如果想两个网络互联互通，只需要把服务器IP改成原本网段的IP，然后把路由表改成：
192.168.0.0 255.255.255.0 192.168.1.1
就行了，一般路由器里面会有一个本来的表
192.168.1.0 255.255.255.0 192.168.1.1
如果没有上述表，请添加！
其实还有很多方法，比如说不增加硬件成本的基础上，把其中一台电脑做软件路由，但实现比这个要复杂，而且不如这个稳定，那台电脑还得必须保持随时开启才能实现，所以不推荐使用

原来你是家庭路由器，那么你现在的功能是基本上无法实现的。
因为家庭路由的工作原理是WAN口做为网关出口，内部数据包找不到的地址都会传给路由器由WAN口发出去。
你现在B,C路由PING路由A的时候默认交给各自WAN口，也就是通过HUB到了A当然就能PING通，而当B，C互PING的时候由于他们相互之间不知道对方局域网地址，所以交给他们的网关，
也就是从各自WAN口发出到A，
但是由于A此时也不能直接知道B,C内部网段，所以A也通过它自己的WAN口发到外部网络去了，当然就PING不通了。

还有一点，家庭路由器在内网到外网的过程中是使用了NAT地址转换的。对于一个家庭路由器外部而言是无法找到内部主机是什么地址的，除非你使用端口映射。

『伍』 内网中，三层交换机下配置ACL已达到阻止某网段访问FTP服务器的方法（其他网段不阻止），命令越具体越好。

例如：三层交换机上f0/1接口上连接的是FTP服务器 FTP服务器IP地址是：192.168.1.1 条目：阻止192.168.2.0网段访问FTP服务器sw(config)#access-list 101 deny tcp 192.168.2.0 0.0.0.255 host 192.168.1.1 eq 21 sw(config)#int f0/1sw(config-if)#ip access-group 101 in

『陆』 为什么ftp要求acl定义两个端口

摘要 一个是数据端口，一个是控制端口，控制端口一般为21，而数据端口不一定是20，这和FTP的应用模式有关，如果是主动模式，应该为20，如果为被动模式，由服务器端和客户端协商而定

『柒』 怎么通过ACL来匹配FTP_DATA报文呢

控制发生在数据之前，如果是为了限制数据，不如直接限制控制，让他登不上不好么？

『捌』 H3C 怎么配置acl才能禁止局域网内的设备访问外部公共网络，或者只能使用FTP服务。

一般需要在路由器上配置，FTP用的端口是TCP 21和TCP 22。你用路由器的防火墙配置，只开放这两个端口应该就可以的。
或者部署一台上网行为管理，比如WFilter这样的产品，可以基于应用协议来配置上网策略。