Cisco ACL szabályok::

Posted in 2008/09/23 ¬ 14:36h.Imi

A másik nagy mumusom az ACL szabályok. Szintén tipikus vizsgapélda lehetőség, és szintén jól kifejtett magyarázzattal ellátott példa látható a testinside blogon. Az összefoglalót magamnak készítem, hogy a konfigurálás minél gördülékenyebben menjen:

Ha ACL-ek ről van szó, beszélhetünk standard vagy extended változatról.

Standard ACL:

  • A használatával forrás ip címeket tudunk szüri
  • A célhoz legközelebbi interface-en használjuk, hogy elkerüljük az esetleges hibás, nem a célra vonatkozó szűrést.
  • Sorszám 1-99 és 1300-1999
  • 1 szabály alkalmazásával a lista végére kerül automatikusan egy minden forgalmat tiltó sor

    • konfigurációja:
    A router fastethernet 0 -s lábán szeretnénk kitiktani a 192.168.1.0/24-es ip címtartományról érkező csomagokat. A tartomány megadásához wildcard mask-ot használunk

    A szabály felállítása:

      #conf t
      config#access-list 1 deny 192.168.1.0 0.0.0.255
      config#access-list 1 permit any

    Ha egy ip címről van szó, kétféleképp járhatunk el:

      192.168.1.10 0.0.0.0 vagy host 192.168.1.10

    A szabály alkalmazása az interface-en:

      #conf t
      config#interface fastethernet 0
      config-if#ip access-group 1 out
      config-if#exit
      config#

    Extended ACL-ek:

    • IP, TCP, UDP, ICMP, IGRP, IGMP és egyéb protokollok szűrése
    • forrás és cél IP címek alapján szűrés
    • forrás és célport alapján szűrés
    • Extended ACL-t a forráshoz legközelebb helyezünk el, így minimalizáljuk a feleslegesen kimenő forgalmat
    • Számozása 100-199 és 2000-2999

    példa : A 192.168.1.0/24-es tartomány nem férhet hozzá a 172.16.1.20-as IP-jű szerver webserver szolgáltatásához, más forgalom mehet.

      #config t
      config#access-list 100 deny tcp 192.168.1.0 0.0.0.255 host 172.16.1.20 eq 80
      config#access-list 100 permit any any

    Az általános érvényű elhelyezési szabályok természetesen változhatnak annak a függvényében, hogy a hálózazat mely elemét milyen irányból szeretnénk elszeparálni, forgalmat engedélyezni illetve tiltani.

    A szabály alkalmazása az interface-en:

      #config t
      config#interface fastethernet 0
      config-if#ip access-group 100 out

    Telnet hozzáférés szűrése egy számítógépre

      #access-list 2 permit host 192.168.1.1

    ACL alkalmazása a telnet kapcsolatokra:

      #config t
      config#line vty 0 - 4
      config-line#access-class 2 in
CCNA, Cisco

You can follow any responses to this entry through the RSS 2.0 feed. You can leave a response, or trackback from your own site.

9 Comments »

 
  • Szalay Richárd says:
    2010/06/21 at 09:11

    Szia!

    Az Interneten kutakodva találtam meg az oldaladat. Látom, hogy a bejegyzésed elég régi, de remélem, hogy a levél elér Hozzád!

    A Cisco routerekkel kapcsolatban annyi kérdésem lenne, hogy az ACL-ek interfészhez rendelése során honnan nézzük az ACL irányát. Érthetőbben: amikor megírunk egy ACL-t, akkor az interfészhez rendeljeük kimenő, vagy bejövő irányba. Azzal tisztában vagyok, hogy a normál ACL-t a célhoz, a kiterjesztett ACL-t a forráshoz legközelebb kell elhelyezni. De minek a függvénye, hogy egyiket vagy másikat a routerből nem engedem ki, vagy már eleve be sem engedem oda?

    Bízom benne, hogy valamennyire érthető volt a kérdésem!

    A segítségedet előre is köszönöm!

    Üdvözlettel,
    Szalay Richárd

  • tusi says:
    2011/11/30 at 12:29

    Ugyan nagyon régi a kérdés, de úgy kell nézni, mintha benne lennél a routerben. Ha in, akkor be akar jönni, ha out, akkor kifele. Mivel porthoz van rendelve, onnan tudhatod, hova kell rendelni és milyen irányba.

  • Imi says:
    2011/11/30 at 12:42

    Valóban nagyon régi a bejegyzés, de jó volt ezt a postot olvasni ennyi év után. Hogy találtál rá? :)

  • tusi says:
    2011/11/30 at 14:49

    Az első példában a F0/0 portra IN ként kell rakni, hogy ne is jöjjön be a csomag a tiltott hálóról. Ha OUT-ra megy, akkor bejön és amikor kitenné a másik interfészére, akkor fogja eldobni. Felesleges forgalom a routerben, mert kétszer nézi meg az ACL listát.

    A második példában is IN ként kell felrakni, hogy megint ne menjen be feleslegesen a routerbe és az OUT lista alapján dobja majd el.

  • tusi says:
    2011/11/30 at 14:53

    Szia

    Nem ment egy dolog, ami ACL-lel kapcsolatos. Engedélyeztem a webet, meg egy csomó dolgot , de mást nem. Mégsem volt netem.

    Aztán rájöttem, hogy a DNS szervert is kizártam és nem volt névfeloldás. Ki és be engedtem az 53-as portot. De előtte körbe néztem és igy találtam ide :)

    Hajrá, sok ilyen oldal kéne, ami magyarul irja le és nem angolul. Sokunk nem tud angolul. Én pl Németül beszélek, de olyan nyelven is szegényes a tájékoztatás sajnos.

    Sok sikert

  • Imi says:
    2011/11/30 at 14:57

    Sajnos a szakma nyelve angol, olvasás szinten érteni kell. Ha az otthoni hálózatodban próbálkozol, akkor ennél fejlettebb tűzfalazást, cbac-t és zone based firewallingot javasolnék.

  • tusi says:
    2011/11/30 at 14:59

    Iptables párti vagyok inkább, bár az sem egyszerű :)

  • Imi says:
    2011/11/30 at 15:01

    Megvan a maga varázsa. IOS-be viszont nehezen csavarozod bele. :)

  • Imi says:
    2011/11/30 at 15:02

    Részemről zone based eszközök híve vagyok inkább.

 

Leave a Reply

XHTML: You can use these tags: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

*
Kérlek, a képen látható kód beírásával igazold, hogy nem vagy robot.
Anti-Spam Image