conduit指令用來允許資料流從具有較低安全級别的接口流向具有較高安全級别的接口,例如允許從外部到DMZ或内部接口的入方向的會話。對于向内部接口的連接配接,static和conduit指令将一起使用,來指定會話的建立。
conduit指令配置文法:
conduit deny|permit <protocol> <g_ip> <g_mask> [<operator> <port> [<port>] <f_ip> <f_mask>
其中,
1) permit | deny 允許 | 拒絕通路
2) protocol 指的是連接配接協定,比如:TCP、UDP、ICMP等。
3) g_ip:global_ip 指的是先前由global或static指令定義的全局ip位址,如果global_ip為0,就用any代替0;如果global_ip是一台主機,就用host指令參數+具體IP位址。
4) port :指的是服務所作用的端口,例如www使用80,smtp使用25等等,我們可以通過服務名稱或端口數字來指定端口。
5) f_ip :foreign_ip 表示可通路global_ip的外部ip。對于任意主機,可以用any表示。如果foreign_ip是一台主機,就用host指令參數。
下面以一個配置執行個體來具體說明conduit的用法。
配置要求:
1、 内網能夠Ping通外網。
2、 外網能通路内網192.168.10.1的80端口。
主要配置:
1、 NAT轉換
<b>global (outside) 1 interface</b>
<b>nat (inside) 1 192.168.10.0 255.255.255.0</b>
<b>static (inside,outside) tcp 192.168.20.1 www 192.168.10.1 www netmask 255.255.255.255 0 0</b>
2、 Conduit配置
<b>conduit permit icmp any any</b>
<b>conduit permit tcp host 192.168.20.1 eq 80 any</b>
個人認為Conduit指令簡單好用,可以滿足一些基本的通路控制要求。不過,在IOS 6.3以後,Cisco通過ACL取代了Conduit的功能。相對而言,ACL的應用範圍更廣,可以用于比較複雜的通路控制。上述配置利用ACL的實作方式如下:
<相同>
2、 ACL配置
<b>access-list acl_out permit icmp any any</b>
<b>access-list acl_out permit tcp any host 192.168.20.1 eq www</b>
<b>access-group acl_out in interface outside //</b><b>将ACL</b><b>應用在outside</b><b>端口上</b>
<b> </b>
<b></b>
<b>備注:當端口應用了ACL</b><b>以後,Conduit</b><b>配置内容失效。換句話說,ACL</b><b>與Conduit</b><b>配置内容有沖突,端口将按照ACL</b><b>的規則進行資料包過濾。</b>
本文轉自 intelboy 51CTO部落格,原文連結:http://blog.51cto.com/intelboy/45611,如需轉載請自行聯系原作者
![一步一步學List Control控件的用法(第二步)----建立第一行[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)