Cisco. ACL — различия между версиями

Материал из megapuper
Перейти к: навигация, поиск
 
(не показано 8 промежуточных версий этого же участника)
Строка 1: Строка 1:
Стандартные ACL
+
'''Стандартные ACL'''
  access-list 100 permit ip 172.16.6.0 0.0.0.255 any
+
  access-list 100 permit host 172.16.6.0 0.0.0.255
  access-list 100 deny ip 172.16.6.0 0.0.0.255 any
+
  access-list 100 deny host 172.16.6.0 0.0.0.255
  
  
Расширенные ACL
+
'''Расширенные ACL'''
 
  ip access-list extended TEST
 
  ip access-list extended TEST
 
   permit tcp host 172.16.6.66 host 172.16.0. eq ftp
 
   permit tcp host 172.16.6.66 host 172.16.0. eq ftp
 
   permit tcp host 172.16.6.66 gt 1023 any eq www
 
   permit tcp host 172.16.6.66 gt 1023 any eq www
 +
 +
 +
<font color=red>'''ПРАВИЛА ПРОВЕРЯЮТСЯ СВЕРХУ ВНИЗ. КАК ТОЛЬКО ПРОВЕРКА ДОХОДИТ ДО ПРАВИЛА ПОД КОТОРОЕ ПАКЕТ ПОДПАДАЕТ, ПРОВЕРКА ПРЕКРАЩАЕТСЯ, НЕЗАВИСИМО ОТ ТОГО КАКИЕ ПРАВИЛА ИДУТ ДАЛЬШЕ.'''</font>
  
  
Строка 13: Строка 16:
 
  deny ip any any
 
  deny ip any any
 
<font color=red>'''Т.Е. ЕСЛИ ЯВНО ЧТО-ТО НЕ РАЗРЕШИТЬ СВЕРХУ, ТО ЭТО БУДЕТ ЗАПРЕЩЕНО'''</font>
 
<font color=red>'''Т.Е. ЕСЛИ ЯВНО ЧТО-ТО НЕ РАЗРЕШИТЬ СВЕРХУ, ТО ЭТО БУДЕТ ЗАПРЕЩЕНО'''</font>
 +
 +
 +
Вешаем ACL на интерфейс(in или out)
 +
ip access-group TEST out
 +
 +
 +
Иногда необходимо удалить конкретную запись в access-list(для примера ip 94.123.2.139). Для этого, сначала смотрим порядковые номера записей
 +
# show access-lists
 +
Standard IP access list 1
 +
    10 permit 185.40.30.134
 +
    20 permit 94.141.60.123
 +
    30 permit 94.123.2.139
 +
    90 permit 88.196.234.16
 +
    50 permit 222.251.243.67
 +
    40 permit 143.35.7.238
 +
 +
Затем удаляем нужную
 +
# conf t
 +
(config)# ip access-list s 1
 +
(config-ext-nacl)# no 30
 +
В данном случае <font color=blue>S</font> - Standard Access List
 +
 +
Если вдруг понадобилось вставить запись в конкретное место, делаем так
 +
# conf t
 +
(config)# ip access-list s 1
 +
(config-ext-nacl)# 40 permit 94.123.2.139
 +
 +
 +
'''OBJECT-GROUP'''
 +
 +
Предположим, надо составить ACL, выпускающий три определенных адреса в интернет по трем одинаковым портам c перспективой расширения количества адресов и портов.
 +
 +
 +
Создаём список разрешённых портов
 +
object-group service INET-PORTS
 +
description Ports allowed for some hosts
 +
tcp eq www
 +
tcp eq 8080
 +
tcp eq 443
 +
 +
 +
Создаём список разрешённых ипишек
 +
object-group network HOSTS-TO-INET
 +
description Hosts allowed to browse the net
 +
host 172.16.0.2
 +
host 172.16.0.3
 +
host 172.16.0.4
 +
 +
 +
Создаём ACL
 +
ip access-list extended INET-OUT
 +
permit object-group INET-PORTS object-group HOSTS-TO-INET any
 +
 +
 +
И в завершении вешаем ACL на интерфейс
 +
ip access-group TEST out

Текущая версия на 16:53, 16 августа 2018

Стандартные ACL

access-list 100 permit host 172.16.6.0 0.0.0.255
access-list 100 deny host 172.16.6.0 0.0.0.255


Расширенные ACL

ip access-list extended TEST
 permit tcp host 172.16.6.66 host 172.16.0. eq ftp
 permit tcp host 172.16.6.66 gt 1023 any eq www


ПРАВИЛА ПРОВЕРЯЮТСЯ СВЕРХУ ВНИЗ. КАК ТОЛЬКО ПРОВЕРКА ДОХОДИТ ДО ПРАВИЛА ПОД КОТОРОЕ ПАКЕТ ПОДПАДАЕТ, ПРОВЕРКА ПРЕКРАЩАЕТСЯ, НЕЗАВИСИМО ОТ ТОГО КАКИЕ ПРАВИЛА ИДУТ ДАЛЬШЕ.


В КОНЦЕ ЗАДАЁТСЯ НЕЯВНОЕ ПРАВИЛО

deny ip any any

Т.Е. ЕСЛИ ЯВНО ЧТО-ТО НЕ РАЗРЕШИТЬ СВЕРХУ, ТО ЭТО БУДЕТ ЗАПРЕЩЕНО


Вешаем ACL на интерфейс(in или out)

ip access-group TEST out


Иногда необходимо удалить конкретную запись в access-list(для примера ip 94.123.2.139). Для этого, сначала смотрим порядковые номера записей

# show access-lists
Standard IP access list 1
   10 permit 185.40.30.134
   20 permit 94.141.60.123
   30 permit 94.123.2.139
   90 permit 88.196.234.16
   50 permit 222.251.243.67
   40 permit 143.35.7.238

Затем удаляем нужную

# conf t
(config)# ip access-list s 1
(config-ext-nacl)# no 30

В данном случае S - Standard Access List

Если вдруг понадобилось вставить запись в конкретное место, делаем так

# conf t
(config)# ip access-list s 1
(config-ext-nacl)# 40 permit 94.123.2.139


OBJECT-GROUP

Предположим, надо составить ACL, выпускающий три определенных адреса в интернет по трем одинаковым портам c перспективой расширения количества адресов и портов.


Создаём список разрешённых портов

object-group service INET-PORTS
description Ports allowed for some hosts
tcp eq www
tcp eq 8080
tcp eq 443


Создаём список разрешённых ипишек

object-group network HOSTS-TO-INET
description Hosts allowed to browse the net
host 172.16.0.2
host 172.16.0.3
host 172.16.0.4


Создаём ACL

ip access-list extended INET-OUT
permit object-group INET-PORTS object-group HOSTS-TO-INET any


И в завершении вешаем ACL на интерфейс

ip access-group TEST out