Cisco. ACL — различия между версиями
Root (обсуждение | вклад) |
Root (обсуждение | вклад) |
||
| Строка 8: | Строка 8: | ||
permit tcp host 172.16.6.66 host 172.16.0. eq ftp | permit tcp host 172.16.6.66 host 172.16.0. eq ftp | ||
permit tcp host 172.16.6.66 gt 1023 any eq www | permit tcp host 172.16.6.66 gt 1023 any eq www | ||
| + | |||
| + | |||
| + | <font color=red>'''ПРАВИЛА ПРОВЕРЯЮТСЯ СВЕРХУ ВНИЗ. КАК ТОЛЬКО ПРОВЕРКА ДОХОДИТ ДО ПРАВИЛА ПОД КОТОРОЕ ПАКЕТ ПОДПАДАЕТ, ПРОВЕРКА ПРЕКРАЩАЕТСЯ, НЕЗАВИСИМО ОТ ТОГО КАКИЕ ПРАВИЛА ИДУТ ДАЛЬШЕ.'''</font> | ||
Версия 19:15, 15 января 2014
Стандартные ACL
access-list 100 permit ip 172.16.6.0 0.0.0.255 any access-list 100 deny ip 172.16.6.0 0.0.0.255 any
Расширенные ACL
ip access-list extended TEST permit tcp host 172.16.6.66 host 172.16.0. eq ftp permit tcp host 172.16.6.66 gt 1023 any eq www
ПРАВИЛА ПРОВЕРЯЮТСЯ СВЕРХУ ВНИЗ. КАК ТОЛЬКО ПРОВЕРКА ДОХОДИТ ДО ПРАВИЛА ПОД КОТОРОЕ ПАКЕТ ПОДПАДАЕТ, ПРОВЕРКА ПРЕКРАЩАЕТСЯ, НЕЗАВИСИМО ОТ ТОГО КАКИЕ ПРАВИЛА ИДУТ ДАЛЬШЕ.
В КОНЦЕ ЗАДАЁТСЯ НЕЯВНОЕ ПРАВИЛО
deny ip any any
Т.Е. ЕСЛИ ЯВНО ЧТО-ТО НЕ РАЗРЕШИТЬ СВЕРХУ, ТО ЭТО БУДЕТ ЗАПРЕЩЕНО
