Access List
Применяются: Пакетная фильтрация;
NAT;
VPN;
QOS;
Разграничение доступа к оборудованию;
Policy Based Routing.
Стандартные: применяются чаще на исходящий трафик (сеть источника, наш трафик)
Расширенные: применяются чаще к входящему трафику
ip адрес источника
порт источника
протокол
ip адресс получателя
порт получателя
Access List применяются в двух направлениях
1. На входящий трафик (трафик входит в роутер)
2. На исходящий трафик (трафик выход из роутера)
--------------------------------------------
Правила работают сверху вниз.
Терминирующие правила.
Верхние правило отработало на нижние уже не пойдет.
deny ip any any - не явное правило (если есть любое правило)
--------------------------------------------
действие тип_трафика откуда/хост куда/хост значение какой значение
permit/deny tcp/udp host IP host IP eq
permit/deny tcp/udp any any eq
--------------------------------------------
пример компы:
vlan5 192.168.5.2 server
vlan4 192.168.4.2 admin
vlan3 192.168.3.2-3 users
vlan3 192.168.3.100 admin user
vlan2 192.168.2.2 buh
пример наш роутер:
192.168.[2-5].1 внутренний адрес
210.210.0.2 внешний адрес
пример провайдер роутер:
210.210.0.1 внешний адрес (шлюз)
210.210.1.1 внешний адрес
210.210.1.2 внешний ресурс
--------------------------------------------
Стандартный Access list:
enable - входим в привилегированный режим
config t - входим в режим глобальной настройки
ip access-list standart FOR-NAT - даем имя FOR-NAT
permit 192.168.2.0 0.0.0.255 - разрешаем сеть (используется cisco Wildcard masc)
permit 192.168.3.0 0.0.0.255 - разрешаем сеть (используется cisco Wildcard masc)
permit 192.168.4.0 0.0.0.255 - разрешаем сеть (используется cisco Wildcard masc)
exit - вышли из настройки ip access-list standart FOR-NAT
ip nat inside source list FOR-NAT interface gigabitEthernet 0/0 overload - применяем Access list FOR-NAT включаем NAT. (PAT)
exit - вышли из config t
write mem - сохранили настройки
--------------------------------------------
Расширенный Access list:
enable - входим в привилегированный режим
configure terminal - входим в режим глобальной настройки
ip access-list extended FROM-OUTSIDE - создаем дист FROM-OUTSIDE
deny ip any 192.168.2.0 0.0.0.255 - запрещаем сеть (используется cisco Wildcard masc)
deny ip any 192.168.3.0 0.0.0.255 - запрещаем сеть (используется cisco Wildcard masc)
deny ip any 192.168.4.0 0.0.0.255 - запрещаем сеть (используется cisco Wildcard masc)
deny ip any 192.168.5.0 0.0.0.255 - запрещаем сеть (используется cisco Wildcard masc)
permit ip any host 210.210.0.2 - разрешаем трафик на внешний интерфейс
exit - вышли из настройки ip access-list extended FROM-OUTSIDE
interface gigabitEthernet 0/0 - зашли в настройку
ip access-group FROM-OUTSIDE in - привязали правило к интерфейсу gigabitEthernet 0/0
exit - вышли из настройки interface gigabitEthernet 0/0
exit - вышли из config t
write mem - сохранили настройки
--------------------------------------------
Более верный расширенный Access list:
enable - входим в привилегированный режим
configure terminal - входим в режим глобальной настройки
no ip access-list extended FROM-OUTSIDE - удаляем Access list с именем FROM-OUTSIDE
ip access-list extended FROM-OUTSIDE - создаем Access list с именем FROM-OUTSIDE
deny tcp any host 210.210.0.2 eq telnet - запрещаем доступ к telnet
permit ip any host 210.210.0.2 - разрешаем трафик на внешний интерфейс
остальной трафик в локальную сеть будет закрыт
т.е на сети например 192.168.2.0 попасть будет нельзя
не гласное правило "deny ip any any"
end - вышли из конфига
write mem - сохранили настройки
--------------------------------------------
Стандартный Access list применяем для безопасности сервера:
enable - входим в привилегированный режим
configure terminal - входим в режим глобальной настройки
ip access-list standard TO-SERVER - создаем стандартный Access list с именем TO-SERVER
permit 192.168.2.0 0.0.0.255 - (cisco wild card mask) разрешили трафик для сети 192.168.2.0/24
exit - вышли из config t
interface gigabitEthernet 0/1.5 - открыли настройку саб интерфейс gigabitEthernet 0/1.5
ip access-group TO-SERVER out - добавили группу TO-SERVER на выходе из интерфейса
end - вышли из конфига
write mem - сохранили настройки
--------------------------------------------
расширенный Access list применяем к пользователям:
enable - входим в привилегированный режим
configure terminal - входим в режим глобальной настройки
ip access-list extended FROM-USERS - создаем расширенный Access list с именем FROM-USERS
permit tcp 192.168.3.0 0.0.0.255 host 210.210.1.2 eq www - разрешаем для сети 192.168.3.0/24 ходить на сервер 210.210.1.2 на 80 порт
permit ip host 192.168.3.100 host 210.210.1.2 - разрешаем 192.168.3.100 любой трафик на 210.210.1.2
deny ip 192.168.3.0 0.0.0.255 host 210.210.1.2 - запрещаем весь трафик для 192.168.3.0/24 на 210.210.1.2
permit ip any any - разрешаем остальной трафик
exit - вышли из ip access-list extended FROM-USERS
interface gigabitEthernet 0/1.3
ip access-group FROM-USERS in
end - вышли из конфига
write mem - сохранили настройки
--------------------------------------------
пример конфиг свитча:
hostname Switch
interface FastEthernet0/1
switchport access vlan 2
interface FastEthernet0/2
switchport access vlan 3
interface FastEthernet0/3
switchport access vlan 3
interface FastEthernet0/4
switchport access vlan 4
interface FastEthernet0/5
switchport access vlan 5
interface FastEthernet0/6-23
shutdown
interface FastEthernet0/24
switchport trunk allowed vlan 2-5
switchport mode trunk
--------------------------------------------
пример конфиг роутера:
hostname Router
enable password cisco
username admin privilege 15 password 0 cisco
interface GigabitEthernet0/0
description outside
ip address 210.210.0.2 255.255.255.252
ip access-group FROM-OUTSIDE in
ip nat outside
duplex auto
speed auto
interface GigabitEthernet0/1
no ip address
duplex auto
speed auto
interface GigabitEthernet0/1.2
description buh
encapsulation dot1Q 2
ip address 192.168.2.1 255.255.255.0
ip nat inside
interface GigabitEthernet0/1.3
description users
encapsulation dot1Q 3
ip address 192.168.3.1 255.255.255.0
ip access-group FROM-USERS in
ip nat inside
interface GigabitEthernet0/1.4
description admin
encapsulation dot1Q 4
ip address 192.168.4.1 255.255.255.0
ip nat inside
interface GigabitEthernet0/1.5
description srv
encapsulation dot1Q 5
ip address 192.168.5.1 255.255.255.0
ip access-group TO-SERVER out
interface Vlan1
no ip address
shutdown
ip nat inside source list FOR-NAT interface GigabitEthernet0/0 overload
ip route 0.0.0.0 0.0.0.0 210.210.0.1
ip access-list standard FOR-NAT
permit 192.168.2.0 0.0.0.255
permit 192.168.3.0 0.0.0.255
permit 192.168.4.0 0.0.0.255
ip access-list extended FROM-OUTSIDE
deny tcp any host 210.210.0.2 eq telnet
permit ip any host 210.210.0.2
ip access-list standard TO-SERVER
permit 192.168.2.0 0.0.0.255
permit host 192.168.3.100
ip access-list extended FROM-USERS
permit tcp 192.168.3.0 0.0.0.255 host 210.210.1.2 eq www
permit ip host 192.168.3.100 host 210.210.1.2
deny ip 192.168.3.0 0.0.0.255 host 210.210.1.2
permit ip any any
--------------------------------------------
пример конфиг роутера злого провайдера:
hostname Router
interface FastEthernet0/0
ip address 210.210.0.1 255.255.255.252
interface FastEthernet0/1
ip address 210.210.1.1 255.255.255.0
ip route 192.168.0.0 255.255.0.0 210.210.0.2
--------------------------------------------