思科路由器上配置端口映射只允许特定IP访问

明白 ✅，你是要在 Cisco 3945 路由器 上做 NAT 端口映射 (外网 → 内网)，并且加 访问控制，只允许 122.144.131.26 访问。

内网服务器：

IP：192.168.0.5
端口：389

外网：

公网映射端口：44389
允许访问的公网 IP：122.144.131.26

配置步骤

1. 定义 ACL，限制访问源 IP

ip access-list extended LDAP-ACCESS
 permit tcp host 122.144.131.26 any eq 44389
 deny   ip any any

这里：

只允许源 IP 122.144.131.26 访问本路由器的 44389 端口
其他来源一律拒绝

2. 配置 NAT 静态端口映射

假设路由器的公网接口是 GigabitEthernet0/0，公网 IP 是 X.X.X.X：

ip nat inside source static tcp 192.168.0.5 389 interface GigabitEthernet0/0 44389

作用：

把 外网 X.X.X.X:44389 转发到 内网 192.168.0.5:389

3. 接口应用 ACL

在公网出口接口（例如 GigabitEthernet0/0）入方向应用 ACL：

interface GigabitEthernet0/0
 ip access-group LDAP-ACCESS in

配置汇总

最终配置大致如下：

ip access-list extended LDAP-ACCESS
 permit tcp host 122.144.131.26 any eq 44389
 deny   ip any any

interface GigabitEthernet0/0
 ip address X.X.X.X 255.255.255.0
 ip nat outside
 ip access-group LDAP-ACCESS in

interface GigabitEthernet0/1
 ip address 192.168.0.1 255.255.255.0
 ip nat inside

ip nat inside source static tcp 192.168.0.5 389 interface GigabitEthernet0/0 44389

验证

从允许的公网 IP 测试：

telnet X.X.X.X 44389

应能连接成功。

从其他公网 IP 测试应被拒绝。

要不要我顺便帮你写一个 完整的安全加固配置（比如限制最大连接数、防止暴力破解），这样你的 389/44389 服务就更安全？