[Router]acl 3000 match-order auto //配置acl 3000
[Router-acl3000]rule 1 deny icmp source 192.168.10.30 0.0.0.0 destination 192.168.10.20 0.0.0.0 icmp-type echo // 禁止主機PC2 ping主機PC1。
[Router-acl3000]rule 2 deny tcp source 192.168.10.30 0.0.0.0 destination 192.168.10.20 0.0.0.0 destination-port eq ftp // 禁止主機PC2 通過ftp通路主機PC1。
[Router-acl3000]rule 3 deny tcp source 192.168.10.30 0.0.0.0 destination 192.168.10.20 0.0.0.0 destination-port eq telnet // 禁止主機PC2 通過telnet通路主機PC1。
[Router-acl3000]rule 4 deny tcp source 192.168.10.30 0.0.0.0 destination 192.168.10.20 0.0.0.0 destination-port eq 139 // 禁止主機PC2通路主機PC1的網絡共享。
[Router-acl3000]rule 5 deny tcp source 192.168.10.30 0.0.0.0 destination 192.168.10.20 0.0.0.0 destination-port eq 445 // 禁止主機PC2通路主機PC1的網絡共享。
[Router]interface Ethernet0/2
[Router-Ethernet0/2] packet-filter inbound ip-group 3000 // 将acl3000應用到e0/2端口。
[Router]
注意:如果用一條規則 deny source 192.168.10.30 0.0.0.0 destination 192.168.10.20 0.0.0.0,則PC1也将無法通路PC2,因為tcp、ftp、網絡共享等通路都需要建立TCP連接配接,一旦全部deny後,則PC2與PC1的任何端口連接配接都将無法實作,即無法建立tcp連接配接。
本文轉自 intelboy 51CTO部落格,原文連結:http://blog.51cto.com/intelboy/13563,如需轉載請自行聯系原作者
![HTTP 錯誤 403.9 - 禁止通路:連接配接的使用者過多 XP IIS伺服器連接配接數的修改[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)