Embedded Files
Ukázky ACL
Ukázky ACL
poznámka - momentálně z výuky PSI vypadly IPv6 ACL, takže _nutné_ jsou jen IPv4 ACL ...
!!!!!!!!! Postup návrhu ACL !!!!!!!!!
!!!!!!!!! Postup návrhu ACL !!!!!!!!!
obrázek topologie - nakreslit "šipku(y)" kontrolované komunikace (nebo komunikací) --> z toho vyplyne umístění ACL
router (zařízení)
interface/line
směr - in/out
ze zadání určit "výchozí" pravidlo pro "všechnu ostatní komunikaci" ... něco jako
permit/deny any
permit/deny ip any any
navrhnout jednotlivá pravidla - v pořadí (shora dolů) od nejkonkrétnějších po nejobecnější (na konci je už připravené "any")
Ověřovací příkazy:
Ověřovací příkazy:
show run | section access-list
show run | include interface|access
show access-list
show ip access-list
show interface
Odstranění access-listu:
Odstranění access-listu:
no access-list 1
no ip access-list standard ZAKAZ1
1/ zákaz přístupu ZE sítě 192.168.0.0 /16 kamkoliv
1/ zákaz přístupu ZE sítě 192.168.0.0 /16 kamkoliv
! pomocí _STANDARD_ ACL
access-list 1 deny 192.168.0.0 0.0.255.255
access-list 1 permit any
int fa2/0
ip access-group 1 out
! pomocí _EXTENDED_ ACL
access-list 101 remark Zakaz komunikaci ze site X kamkoliv
access-list 101 deny ip 192.168.0.0 0.0.255.255 any
access-list 101 permit ip any any
int fa2/0
ip access-group 101 out
varianta - named
! pomocí _NAMED_STANDARD_ ACL
ip access-list standard BLOKUJ_SIT
deny 192.168.0.0 0.0.255.255
permit any
int fa2/0
ip access-group BLOKUJ_SIT out
! pomocí _NAMED_EXTENDED_ ACL
ip access-list extended BLOKUJ_SIT2
deny ip 192.168.0.0 0.0.255.255 any
permit ip any any
int fa2/0
ip access-group BLOKUJ_SIT2 out
Poznámka - při aplikaci ACL na VTY je potřeba použít příkaz access-class místo ip access-group
2/ úprava - přidání zákazu ještě také z konkrétní IP (189.25.14.2)
2/ úprava - přidání zákazu ještě také z konkrétní IP (189.25.14.2)
! pomocí _STANDARD_ ACL
no access-list 1
access-list 1 deny 192.168.0.0 0.0.255.255
access-list 1 deny host 189.25.14.2
access-list 1 permit any
int fa2/0
ip access-group 1 out
! pomocí _EXTENDED_ ACL
no access-list 101
access-list 101 deny ip host 189.25.14.2 any
access-list 101 deny ip 192.168.0.0 0.0.255.255 any
access-list 101 permit ip any any
int fa2/0
ip access-group 101 out
3/ úprava - povolení výjimky - ze zakázané IP je možné zobrazit WWW stránky na 165.15.1.100
3/ úprava - povolení výjimky - ze zakázané IP je možné zobrazit WWW stránky na 165.15.1.100
! pomocí _EXTENDED_ ACL
no access-list 101
access-list 101 deny ip 192.168.0.0 0.0.255.255 any
access-list 101 permit tcp host 189.25.14.2 host 165.15.1.100 eq www
access-list 101 deny ip 189.25.14.2 0.0.0.0 any
access-list 101 permit ip any any
int fa2/0
no ip access-group 1 out
ip access-group 101 out
??? LZE toto vyřešit také pomocí STANDARD ACL ???
5/ nový požadavek - zákaz FTP ze stanice (189.25.14.2)
5/ nový požadavek - zákaz FTP ze stanice (189.25.14.2)
access-list 102 deny tcp host 189.25.14.1 any eq ftp
access-list 102 permit ip any any
int fa0/0
ip access-group 102 in
varianta:
no access-list 101
access-list 101 deny ip 192.168.0.0 0.0.255.255 any
access-list 101 permit tcp host 189.25.14.2 host 165.15.1.100 eq www
access-list 101 deny ip 189.25.14.2 0.0.0.0 any
access-list 101 deny tcp host 189.25.14.1 any eq ftp
access-list 101 permit ip any any
varianta - named
ip access-list extended ACL_KOMPLET
deny ip 192.168.0.0 0.0.255.255 any
permit tcp host 189.25.14.2 host 165.15.1.100 eq www
deny ip 189.25.14.2 0.0.0.0 any
deny tcp host 189.25.14.1 any eq ftp
permit ip any any
Stavový firewall
Stavový firewall
Jak řešit stavový firewall - tj. povolovat pouze odpovědi (reply) na již odeslané otázky (request) ... v TCP ?
ip access-list extended NEJAKEJMENO
permit tcp any any established
deny ip any any
Page updated
Report abuse