思科路由器上配置端口映射只允许特定IP访问

明白 ✅，你是要在 Cisco 3945 路由器 上做 NAT 端口映射 (外网 → 内网) ，并且加 访问控制 ，只允许 122.144.131.26 访问。 

 内网服务器： 

 

 

 IP： 192.168.0.5 

 

 

 端口： 389 

 

 

 外网： 

 

 

 公网映射端口： 44389 

 

 

 允许访问的公网 IP： 122.144.131.26 

 

 

 

 配置步骤 

 1. 定义 ACL，限制访问源 IP 

 ip access-list extended LDAP-ACCESS

 permit tcp host 122.144.131.26 any eq 44389

 deny ip any any

 

 这里： 

 

 

 只允许源 IP 122.144.131.26 访问本路由器的 44389 端口 

 

 

 其他来源一律拒绝 

 

 

 

 2. 配置 NAT 静态端口映射 

 假设路由器的公网接口是 GigabitEthernet0/0 ，公网 IP 是 X.X.X.X ： 

 ip nat inside source static tcp 192.168.0.5 389 interface GigabitEthernet0/0 44389

 

 作用： 

 

 

 把 外网 X.X.X.X:44389 转发到 内网 192.168.0.5:389 

 

 

 

 3. 接口应用 ACL 

 在公网出口接口（例如 GigabitEthernet0/0 ）入方向应用 ACL： 

 interface GigabitEthernet0/0

 ip access-group LDAP-ACCESS in

 

 

 配置汇总 

 最终配置大致如下： 

 ip access-list extended LDAP-ACCESS

 permit tcp host 122.144.131.26 any eq 44389

 deny ip any any

interface GigabitEthernet0/0

 ip address X.X.X.X 255.255.255.0

 ip nat outside

 ip access-group LDAP-ACCESS in

interface GigabitEthernet0/1

 ip address 192.168.0.1 255.255.255.0

 ip nat inside

ip nat inside source static tcp 192.168.0.5 389 interface GigabitEthernet0/0 44389

 

 

 验证 

 

 

 从允许的公网 IP 测试： 

 

 

 telnet X.X.X.X 44389

 

 应能连接成功。 

 

 

 从其他公网 IP 测试应被拒绝。 

 

 

 

 要不要我顺便帮你写一个 完整的安全加固配置（比如限制最大连接数、防止暴力破解） ，这样你的 389/44389 服务就更安全？