V104.4的50题答案是否错了?

xyjxjj · 发表于 2011-8-9 00:58:50

本帖最后由小乔于 2011-8-15 09:21 编辑

对于172段，任意端口发起SSH到SRV-A的22端口可以，LIST 101允许SVR-A的22端口回172段的任意端口无限制，SSH连接建立
172段只有23端口到SRV-A无限制，这无法让它发出TELNET连接，是选B

但是PDF上的解释是有问题的

xyjxjj · 发表于 2011-8-9 08:33:09

在模拟器上试，由于不支持SSH，改成100只允许A机到B机的TELNET放到FA0/0，101只允许B到A的SSH放到FA0/1，结果A机不能TELNET B机

xyjxjj · 发表于 2011-8-9 09:12:04

而且100应用的是172的28位子网，即使SSH生效，TOP里的20位子网大量主机IP也被DENY了

我叫「贤者」 · 发表于 2011-8-9 09:51:03

我试的时候把100的那个SSH 改成TELnet ，在PT 上试，发现PC 可以单向Telnet到SERVER

xyjxjj · 发表于 2011-8-9 10:21:44

本帖最后由 xyjxjj 于 2011-8-9 13:30 编辑

现在试了下，B是对的
但书上的解释是有问题的

xyjxjj · 发表于 2011-8-9 10:38:20

本帖最后由 xyjxjj 于 2011-8-9 13:47 编辑

对于172段，任意端口发起SSH到SRV-A的22端口可以，LIST 101允许SVR-A的22端口回172段的任意端口无限制，SSH连接建立
172段只有23端口到SRV-A无限制，这无法让它发出TELNET连接

五道杠君 · 发表于 2011-8-11 08:00:40

首先看 100的第一句话  允许SSH  svr-a

第二句话没有用 EQ TELNET位置放错了  允许源端口为23的没用

101的第一句话  允许SVR-A 的源端口22的数据包对外访问无效

第二句允许SVR-A对外TELNET

所以有效果的就是100的第一句话

xyjxjj · 发表于 2011-8-11 16:17:11

五道杠君发表于 2011-8-11 08:00
首先看 100的第一句话允许SSH svr-a

第二句话没有用 EQ TELNET位置放错了允许源端口为23的没用
...

101的第一句话是有效果的，如果它无效，第二句是允许SRV-A发起到172的TELNET，再往下DENY ANY就要起作用，导致SRV-A无法回应172发起的SSH

xyjxjj · 发表于 2011-8-11 16:26:59

101的第一条是不能让SRV-A自身发起到172的SSH，但可以让他应答172的SSH

这道题其实考的是TCP/IP原理

魔魔爱你 · 发表于 2011-8-12 12:50:10

xyjxjj 发表于 2011-8-9 10:38
对于172段，任意端口发起SSH到SRV-A的22端口可以，LIST 101允许SVR-A的22端口回172段的任意端口无限制，SSH ...

我还是没看到你说的是什么意思。请问一下那个eq放在源地址后面跟放在目的地址后面有什么区别嘛？

xyjxjj · 发表于 2011-8-12 14:58:04

魔魔爱你发表于 2011-8-12 12:50
我还是没看到你说的是什么意思。请问一下那个eq放在源地址后面跟放在目的地址后面有什么区别嘛？

当然有区别
放前面是允许源地址的该端口到目的地址(所有端口)的通讯
放后面是允许源地址(所有端口)到目的地址该端口的通讯

xyjxjj · 发表于 2011-8-12 15:00:48

172能SSH到SRV-A是因为100与101的第一条都有效，而不是后者无效

账号		自动登录	找回密码
密码			论坛注册

[已解决] V104.4的50题答案是否错了?