Access-list в Cisco ч.1
Рассмотрим простую конфигурацию из маршрутизатора и 2 компьютеров в разных подсетях.
Для того чтобы компы друг друга увидели надо настроить маршрутизацию:
Router>
Router>en
Router#conf t
Router(config)#route
Router(config)#router rip
Router(config-router)#version 2
Router(config-router)#redistribute connected
Все теперь они друг друга видят. Теперь можно переходить к основной теме топика к Списком доступа(Access-list).
Списки доступа бывают простые и расширенные(extended). Отличие extended от простых в возможности их именования латинскими буквами и можно указать конкретный протокол в виде www вместо указания порта 80 и фильтровать отдельные виды пакетов. Т.е. можно написать список доступа об открытии или закрытии порта 80 или www для одного или сети компьютеров.
В фаерах Cisco Asa и Pix используется подобный принцип, как собственно и в iptables линукса.
Так же есть интересная особенность списки можно применять на входящий и исходящий трафик с портов. Т.е. на рисунке есть 2 порта к которым подключены 2 компа.
Если например применить список доступа к интерфейсу f0/1 исходящий трафик и фильтровать icmp пакеты отправляемые с 1 компьютера, то они будут доходить до маршрутизатора, проходить через него и фильтроваться на выходе ко второму компьютеру.
Если применить список доступа на исходящий с интерфейса f0/0, то icmp пакет будет доходить до 2 компьютера, 2ой компьютер будет отправлять icmp ответ 1ому, но будет резаться на f0/0.
Пример:
Если создать акцесс лист с таким содержимым
Router(config)#access-list 100 deny icmp any any
и применить его на вход интерфейса f0/1
Router(config-if)#ip access-group 100 in
, то пинг от 1-ого компьютера будет доходить до 2-ого, но обратно пакет зарежется на входе f0/1 и в результате ответ не дойдет до пингующего компа.
Если же его применить на f0/1 так же на вход, то до 2-ого компа он вообще не дойдет и зарежется на интерфейсе маршрутизатора.
Можно рассмотреть более интересный вариант - создать список доступа и фильтровать TCP пакеты по определенным портам
access-list 101 deny tcp any host 192.168.1.1 eq 5500
Здесь указано что будет зарезаться пакеты типа TCP с любого адреса предназначенные хосту 192.168.1.1 с номером порта 5500. eq - вроде как эквивалентно либо можно указать рейндж портов с помощью команды range
Router>
Router>en
Router#conf t
Router(config)#route
Router(config)#router rip
Router(config-router)#version 2
Router(config-router)#redistribute connected
Все теперь они друг друга видят. Теперь можно переходить к основной теме топика к Списком доступа(Access-list).
Списки доступа бывают простые и расширенные(extended). Отличие extended от простых в возможности их именования латинскими буквами и можно указать конкретный протокол в виде www вместо указания порта 80 и фильтровать отдельные виды пакетов. Т.е. можно написать список доступа об открытии или закрытии порта 80 или www для одного или сети компьютеров.
В фаерах Cisco Asa и Pix используется подобный принцип, как собственно и в iptables линукса.
Так же есть интересная особенность списки можно применять на входящий и исходящий трафик с портов. Т.е. на рисунке есть 2 порта к которым подключены 2 компа.
Если например применить список доступа к интерфейсу f0/1 исходящий трафик и фильтровать icmp пакеты отправляемые с 1 компьютера, то они будут доходить до маршрутизатора, проходить через него и фильтроваться на выходе ко второму компьютеру.
Если применить список доступа на исходящий с интерфейса f0/0, то icmp пакет будет доходить до 2 компьютера, 2ой компьютер будет отправлять icmp ответ 1ому, но будет резаться на f0/0.
Пример:
Если создать акцесс лист с таким содержимым
Router(config)#access-list 100 deny icmp any any
и применить его на вход интерфейса f0/1
Router(config-if)#ip access-group 100 in
, то пинг от 1-ого компьютера будет доходить до 2-ого, но обратно пакет зарежется на входе f0/1 и в результате ответ не дойдет до пингующего компа.
Если же его применить на f0/1 так же на вход, то до 2-ого компа он вообще не дойдет и зарежется на интерфейсе маршрутизатора.
Можно рассмотреть более интересный вариант - создать список доступа и фильтровать TCP пакеты по определенным портам
access-list 101 deny tcp any host 192.168.1.1 eq 5500
Здесь указано что будет зарезаться пакеты типа TCP с любого адреса предназначенные хосту 192.168.1.1 с номером порта 5500. eq - вроде как эквивалентно либо можно указать рейндж портов с помощью команды range
Комментарии
Отправить комментарий