请问350-401 Q48题正确的答案？

courageyang

350-401 Q48题
A client with IP address 209.165.201.25 must access a web server on port 80 at 209.165.200.225. To allow this traffic, an engineer must add a statement to an access control list that is applied in the inbound direction on the port connecting
to the web servers.
Which statement allows this traffic?

A. permit tcp host 209.165.200.225 lt 80 host 209.165.201.25
B. permit tcp host 209.165.201.25 host 209.165.200.225 eq 80
C. permit tcp host 209.165.200.225 eq 80 host 209.165.201.25
D. permit tcp host 209.165.200.225 host 209.165.201.25 eq 80


首先，这道题题干翻译成中文是不是“一台ip地址为209.165.201.25的客户端要访问一台IP地址为209.165.200.225的服务器上的80端口，一位工程师必须增加一个描述到访问控制列表里，这个访问控制列表应用于web服务器的入站端口上，应该选择哪个描述？
如果我的翻译正确，那么是不是可以这样分析，如果问题是说在outbound方向上，就应该选择B，intbound方向上就应该选择C。（题库中说的答案D，我觉得很难理解，应该不是正确的吧），所以说，这道题的正确答案是C，对吗？

370178418

选C,题库答案是错的

Lapot16

     

The syntax of an extended ACL is shown below:

access-list access-list-number  {permit | deny} protocol source {source-mask} destination {destination-mask} [eq destination-port]  

ANSWER C - syntax wrong

ANSWER D is right choice

courageyang

370178418 发表于 2020-4-10 08:25
选C,题库答案是错的

可是楼上那位老兄，图文并茂的说明答案D是对的，C是错的，到底哪个是对的

courageyang

Lapot16 发表于 2020-4-10 04:44
The syntax of an extended ACL is shown below:access-list  access-list-number  {permit | ...

你好，我觉得我首先要理解这道题在于从字面意思来构建拓扑，如你所画的3个图中，最下面的那张图应该就是题干中所描述的拓扑吧。如果是这样，我看见你的描述后也感觉答案是D，相当于这个数据回流被允许了对吗？只是我平常做ACL的题目可能更多的是应用在outbound方向的，所以对于逆向inbound一时觉得难以理解。

370178418

courageyang 发表于 2020-4-10 10:57
可是楼上那位老兄，图文并茂的说明答案D是对的，C是错的，到底哪个是对的

C语法没有错误啊
Router(config)#access-list 100 permit tcp host 1.1.1.1 eq 80 ?
  A.B.C.D  Destination address
  any      Any destination host
  host     A single destination host

Router(config)#access-list 100 permit tcp host 1.1.1.1 eq 80

courageyang

courageyang 发表于 2020-4-10 11:05
你好，我觉得我首先要理解这道题在于从字面意思来构建拓扑，如你所画的3个图中，最下面的那张图应该就是 ...

可是D明显不对呀，是client访问web server 的80端口，选项D变成了 web访问 client 80端口了

courageyang

370178418 发表于 2020-4-10 11:08
C语法没有错误啊
Router(config)#access-list 100 permit tcp host 1.1.1.1 eq 80 ?
  A.B.C.D  Destin ...

嗯嗯，是的，我刚才也核实了，C的语法没有错，答案应该是C才对

circa302

Lapot16 发表于 2020-4-10 04:44
The syntax of an extended ACL is shown below:access-list  access-list-number  {permit | ...

答案應該是C.才對

原因：209.165.201.25是Client端是TCP的Hight Port跟209.165.200.225的Web 80 Port建連線，選項D.的ACL去比對目的端209.165.201.25的80，這樣根本不會hit到啊


D.permit tcp host 209.165.200.225 host 209.165.201.25 eq 80

larry.liang

C already test, it's C

Lapot16

Thank you cirsa302
I was mistaken
I simulated in Packed-Tracer answer C

zzzzzza0

又学习到了

dldc

ppxiaoshao

学习到了，顶

ede163

应该选C
既然是直连Server端口的inbound方向，应该考虑Server->Client的回包
C. permit tcp host 209.165.200.225 eq 80 host 209.165.201.25----匹配的是Server.225的80端口去往Client.25任意端口
D. permit tcp host 209.165.200.225 host 209.165.201.25 eq 80----匹配的是Server.225任意端口去往Client.25的80端口（目的端口匹配不上，实际没有作用）