Просьба оставить комментарий





Если вам понравился или не понравился топик. Я что то забыл или не дописал, то вы можете оставить свой комментарий и я постараюсь исправить это в ближайшее время.

пятница, 13 января 2012 г.

Access-list в Cisco ч.1

Рассмотрим простую конфигурацию из маршрутизатора и 2 компьютеров в разных подсетях.
Для того чтобы компы друг друга увидели надо настроить маршрутизацию:
Router>
Router>en
Router#conf t
Router(config)#route
Router(config)#router rip
Router(config-router)#version 2
Router(config-router)#redistribute connected

Все теперь они друг друга видят. Теперь можно переходить к основной теме топика к Списком доступа(Access-list).

Списки доступа бывают простые и расширенные(extended). Отличие extended от простых в возможности их именования латинскими буквами и можно указать конкретный протокол в виде www вместо указания порта 80 и фильтровать отдельные виды пакетов. Т.е. можно написать список доступа об открытии или закрытии порта 80 или www для одного или сети компьютеров.

В фаерах Cisco Asa и Pix используется подобный принцип, как собственно и в iptables линукса.

Так же есть интересная особенность списки можно применять на входящий и исходящий трафик с портов. Т.е. на рисунке есть 2 порта к которым подключены 2 компа.

Если например применить список доступа к интерфейсу f0/1 исходящий трафик и фильтровать icmp пакеты отправляемые с 1 компьютера, то они будут доходить до маршрутизатора, проходить через него и фильтроваться на выходе ко второму компьютеру.

Если применить список доступа на исходящий с интерфейса f0/0, то icmp пакет будет доходить до 2 компьютера, 2ой компьютер будет отправлять icmp ответ 1ому, но будет резаться на f0/0.

Пример:
Если создать акцесс лист с таким содержимым
Router(config)#access-list 100 deny icmp any any

и применить его на вход интерфейса f0/1
Router(config-if)#ip access-group 100 in

, то пинг от 1-ого компьютера будет доходить до 2-ого, но обратно пакет зарежется на входе f0/1 и в результате ответ не дойдет до пингующего компа.

Если же его применить на f0/1 так же на вход, то до 2-ого компа он вообще не дойдет и зарежется на интерфейсе маршрутизатора.

Можно рассмотреть более интересный вариант - создать список доступа и фильтровать TCP пакеты по определенным портам

access-list 101 deny tcp any host 192.168.1.1 eq 5500

Здесь указано что будет зарезаться пакеты типа TCP с любого адреса предназначенные хосту  192.168.1.1 с номером порта 5500. eq - вроде как эквивалентно либо можно указать рейндж портов с помощью команды  range

Комментариев нет:

Отправить комментарий