为ADSL配置ACL

Question

我们有一个思科2901作为一个小型办公室路由器。

GigabitEthernet0 0/1连接到ADSL调制解调器。GigabitEthernet0 0/0以IP地址192.168.1.1连接到本地局域网。网络192.168.1.0是NAT的，可以通过ADSL调制解调器接入Internet。

以下是LAN接口的配置：

    interface GigabitEthernet0/0
    description ADSL LAN Interface
    ip address 192.168.1.1 255.255.255.0
    no ip redirects
    no ip unreachables
    no ip proxy-arp
    ip nat inside
    ip virtual-reassembly
    duplex auto
    speed auto
    no cdp enable
    !

我们没有任何服务运行，将需要任何端口转发从互联网。

我们确实有SMB，FTP和其他服务只运行在局域网上的机器上。

我们如何配置ACL以防止Internet访问局域网上的机器？

Answer 1

由于您的主机是动态nat，外部主机不可能连接到您的lan网络中运行的任何主机。唯一可能将数据包从互联网传递到内部局域网的是对从内部主机建立的连接的回复数据包。