Cisco ACL II.

FELADAT: a 192.168.35.1 web serverünket csak http/ssl-en
keresztül lehessen elérni (kiterjesztett acl listával,ami
100-199 tartományban található).
access-list 101 permit tcp 0.0.0.0 255.255.255.255 192.168.35.1 0.0.0.0 eq 80
access-list 101 permit tcp 0.0.0.0 255.255.255.255 192.168.35.1 0.0.0.0 eq 443
access-list 101 deny ip 0.0.0.0 255.255.255.255 192.168.34.1 0.0.0.0
int eth0
ip access-group 101 out
(mint a standard acl, a kiterjesztett lista végén is van egy
implicit deny sor,ami mindent tilt,ami eddig nem felelt meg)

pl. a következő lista az összes ip csomagot lefedi ami a 192.168.30.0/24 ből a 192.168.33.5 felé megy.
access-list 101 permit ip 192.168.30.0 0.0.0.255 192.168.33.5 0.0.0.0

FELADAT: NTP csomagokat is engedjük be a web serverünkre
access-list 102 permit udp 0.0.0.0 255.255.255.255 eq 123 192.168.35.1 0.0.0.0 eq 123
(itt a forrás és cél portot is megadhatjuk!)

Operátorok:
eq egyenlő
gt nagyobb,mint

FELADAT: az összes 1023-tól nagyobb forrás portból jövő csomag
beengedése a 20-as portra(FTP)
access-list 101 permit tcp 0.0.0.0 255.255.255.255 gt 1023 192.168.35.1 0.0.0.0 eq 20

FELADAT: az összes 1023-tól nagyobb forrás portból jövő csomag
beengedése a DNS szerverünkre (53)
access-list 101 permit udp 0.0.0.0 255.255.255.255 gt 1023 192.168.35.1 0.0.0.0 eq 53

FELADAT: 192.168.30.0/24-ből lehessen pingelni a 192.168.35.1 szerverünket
access-list 101 permit icmp 192.168.30.0 0.0.0..255 192.168.35.1 0.0.0.0 echo
icmp-esetén nincsennek portszámok (echo,echo-reply,...)

range opcióval megadhatunk port intervallumot pl.
access-list 101 permit tcp 192.168.31.1 0.0.0.0 192.168.35.1 0.0.0.0 range 6000 6002

Szöveges konstansok:
Minden ip cím: 0.0.0.0 255.255.255.255 = any
IP 0.0.0.0 = host
access-list 101 permit tcp any host 192.168.35.1 eq http

Általános kiterjesztett acl list formátuma:
access-list [list number] [permit|deny] [protocol] [forrás] [cél] [protokol] [logging]
protocol = [ip|tcp|udp|icmp]
forrás = [ip cm] [ mask] [port UDP/TCP esetén]
cél = [IP cm] [mask] [port szám udp/tcp esetén]

Maskolás használata:
access-list 1 permit 192.168.32.0 -> 00100000
access-list 1 permit 192.168.33.0 -> 00100001
access-list 1 permit 192.168.34.0 -> 00100010
access-list 1 permit 192.168.35.0 -> 00100011
felirható egy sorral is
access-list 1 permit 192.168.32.0 0.0.3.255

következő példa:
access-list 1 permit 192.168.30.4
access-list 1 permit 192.168.30.4
access-list 1 permit 192.168.30.4
access-list 1 permit 192.168.30.4
egyenő
access-list 1 permit 192.168.30.4 0.0.0.3

ACL-k létrehozásának lépései:
1. megtervezzük a szabályokat, policiket
2. elkészítjük egy szövegszerkesztővel jól dokumentálva
3. majd terminálon beküldjük, vagy tftp-ről betöltjük
pl.

# access list 1 - szabály a router telnet eléréséhez
! régi acl access list törlése
no access-list 1
! Tamás gépének engedélyezése
access-list 1 permit 192.168.30.1
! Mária gépének engedélyezése
access-list 1 permit 192.168.33.5

a kommentek segítenek az acl megértéséhez!

show access-list <- acl megjelenítése


Named acl listák (új IOS verzióknál) itt már nem számokkal, hanem nevekkel tudunk az acl listákra hivatkozni.
#conf t
(config)# ip access-list standard név <- std acl
(config-std-nacl)# permit 192.168.30.1
(config-std-nacl)# permit 192.168.33.5

(53)