思科路由器上配置端口映射只允许特定IP访问
明白 ✅,你是要在 Cisco 3945 路由器 上做 NAT 端口映射 (外网 → 内网),并且加 访问控制,只允许 122.144.131.26 访问。
内网服务器:
-
IP:
192.168.0.5 -
端口:
389
外网:
-
公网映射端口:
44389 -
允许访问的公网 IP:
122.144.131.26
配置步骤
1. 定义 ACL,限制访问源 IP
ip access-list extended LDAP-ACCESS
permit tcp host 122.144.131.26 any eq 44389
deny ip any any
这里:
-
只允许源 IP
122.144.131.26访问本路由器的44389端口 -
其他来源一律拒绝
2. 配置 NAT 静态端口映射
假设路由器的公网接口是 GigabitEthernet0/0,公网 IP 是 X.X.X.X:
ip nat inside source static tcp 192.168.0.5 389 interface GigabitEthernet0/0 44389
作用:
-
把 外网 X.X.X.X:44389 转发到 内网 192.168.0.5:389
3. 接口应用 ACL
在公网出口接口(例如 GigabitEthernet0/0)入方向应用 ACL:
interface GigabitEthernet0/0
ip access-group LDAP-ACCESS in
配置汇总
最终配置大致如下:
ip access-list extended LDAP-ACCESS
permit tcp host 122.144.131.26 any eq 44389
deny ip any any
interface GigabitEthernet0/0
ip address X.X.X.X 255.255.255.0
ip nat outside
ip access-group LDAP-ACCESS in
interface GigabitEthernet0/1
ip address 192.168.0.1 255.255.255.0
ip nat inside
ip nat inside source static tcp 192.168.0.5 389 interface GigabitEthernet0/0 44389
验证
-
从允许的公网 IP 测试:
telnet X.X.X.X 44389
应能连接成功。
-
从其他公网 IP 测试应被拒绝。
要不要我顺便帮你写一个 完整的安全加固配置(比如限制最大连接数、防止暴力破解),这样你的 389/44389 服务就更安全?