Cisco. ACL

Материал из megapuper
Перейти к: навигация, поиск

Стандартные ACL

access-list 100 permit host 172.16.6.0
access-list 100 deny host 172.16.6.0


Расширенные ACL

ip access-list extended TEST
 permit tcp host 172.16.6.66 host 172.16.0. eq ftp
 permit tcp host 172.16.6.66 gt 1023 any eq www


ПРАВИЛА ПРОВЕРЯЮТСЯ СВЕРХУ ВНИЗ. КАК ТОЛЬКО ПРОВЕРКА ДОХОДИТ ДО ПРАВИЛА ПОД КОТОРОЕ ПАКЕТ ПОДПАДАЕТ, ПРОВЕРКА ПРЕКРАЩАЕТСЯ, НЕЗАВИСИМО ОТ ТОГО КАКИЕ ПРАВИЛА ИДУТ ДАЛЬШЕ.


В КОНЦЕ ЗАДАЁТСЯ НЕЯВНОЕ ПРАВИЛО

deny ip any any

Т.Е. ЕСЛИ ЯВНО ЧТО-ТО НЕ РАЗРЕШИТЬ СВЕРХУ, ТО ЭТО БУДЕТ ЗАПРЕЩЕНО


Вешаем ACL на интерфейс(in или out)

ip access-group TEST out


OBJECT-GROUP

Предположим, надо составить ACL, выпускающий три определенных адреса в интернет по трем одинаковым портам c перспективой расширения количества адресов и портов.


Создаём список разрешённых портов

object-group service INET-PORTS
description Ports allowed for some hosts
tcp eq www
tcp eq 8080
tcp eq 443


Создаём список разрешённых ипишек

object-group network HOSTS-TO-INET
description Hosts allowed to browse the net
host 172.16.0.2
host 172.16.0.3
host 172.16.0.4


Создаём ACL

ip access-list extended INET-OUT
permit object-group INET-PORTS object-group HOSTS-TO-INET any


И в завершении вешаем ACL на интерфейс

ip access-group TEST out