Cisco ACL II.
FELADAT: a 192.168.35.1 web serverünket csak http/ssl-en
keresztül lehessen elérni (kiterjesztett acl listával,ami
100-199 tartományban található).
access-list 101 permit tcp 0.0.0.0 255.255.255.255 192.168.35.1 0.0.0.0 eq 80
access-list 101 permit tcp 0.0.0.0 255.255.255.255 192.168.35.1 0.0.0.0 eq 443
access-list 101 deny ip 0.0.0.0 255.255.255.255 192.168.34.1 0.0.0.0
int eth0
ip access-group 101 out
(mint a standard acl, a kiterjesztett lista végén is van egy
implicit deny sor,ami mindent tilt,ami eddig nem felelt meg)
pl. a következő lista az összes ip csomagot lefedi ami a 192.168.30.0/24 ből a 192.168.33.5 felé megy.
access-list 101 permit ip 192.168.30.0 0.0.0.255 192.168.33.5 0.0.0.0
FELADAT: NTP csomagokat is engedjük be a web serverünkre
access-list 102 permit udp 0.0.0.0 255.255.255.255 eq 123 192.168.35.1 0.0.0.0 eq 123
(itt a forrás és cél portot is megadhatjuk!)
Operátorok:
eq egyenlő
gt nagyobb,mint
FELADAT: az összes 1023-tól nagyobb forrás portból jövő csomag
beengedése a 20-as portra(FTP)
access-list 101 permit tcp 0.0.0.0 255.255.255.255 gt 1023 192.168.35.1 0.0.0.0 eq 20
FELADAT: az összes 1023-tól nagyobb forrás portból jövő csomag
beengedése a DNS szerverünkre (53)
access-list 101 permit udp 0.0.0.0 255.255.255.255 gt 1023 192.168.35.1 0.0.0.0 eq 53
FELADAT: 192.168.30.0/24-ből lehessen pingelni a 192.168.35.1 szerverünket
access-list 101 permit icmp 192.168.30.0 0.0.0..255 192.168.35.1 0.0.0.0 echo
icmp-esetén nincsennek portszámok (echo,echo-reply,...)
range opcióval megadhatunk port intervallumot pl.
access-list 101 permit tcp 192.168.31.1 0.0.0.0 192.168.35.1 0.0.0.0 range 6000 6002
Szöveges konstansok:
Minden ip cím: 0.0.0.0 255.255.255.255 = any
IP 0.0.0.0 = host
access-list 101 permit tcp any host 192.168.35.1 eq http
Általános kiterjesztett acl list formátuma:
access-list [list number] [permit|deny] [protocol] [forrás] [cél] [protokol] [logging]
protocol = [ip|tcp|udp|icmp]
forrás = [ip cm] [ mask] [port UDP/TCP esetén]
cél = [IP cm] [mask] [port szám udp/tcp esetén]
Maskolás használata:
access-list 1 permit 192.168.32.0 -> 00100000
access-list 1 permit 192.168.33.0 -> 00100001
access-list 1 permit 192.168.34.0 -> 00100010
access-list 1 permit 192.168.35.0 -> 00100011
felirható egy sorral is
access-list 1 permit 192.168.32.0 0.0.3.255
következő példa:
access-list 1 permit 192.168.30.4
access-list 1 permit 192.168.30.4
access-list 1 permit 192.168.30.4
access-list 1 permit 192.168.30.4
egyenő
access-list 1 permit 192.168.30.4 0.0.0.3
ACL-k létrehozásának lépései:
1. megtervezzük a szabályokat, policiket
2. elkészítjük egy szövegszerkesztővel jól dokumentálva
3. majd terminálon beküldjük, vagy tftp-ről betöltjük
pl.
# access list 1 - szabály a router telnet eléréséhez
! régi acl access list törlése
no access-list 1
! Tamás gépének engedélyezése
access-list 1 permit 192.168.30.1
! Mária gépének engedélyezése
access-list 1 permit 192.168.33.5
a kommentek segítenek az acl megértéséhez!
show access-list <- acl megjelenítése
Named acl listák (új IOS verzióknál) itt már nem számokkal, hanem nevekkel tudunk az acl listákra hivatkozni.
#conf t
(config)# ip access-list standard név <- std acl
(config-std-nacl)# permit 192.168.30.1
(config-std-nacl)# permit 192.168.33.5
(53)