Access List
Применяются: Пакетная фильтрация; NAT; VPN; QOS; Разграничение доступа к оборудованию; Policy Based Routing. Стандартные: применяются чаще на исходящий трафик (сеть источника, наш трафик) Расширенные: применяются чаще к входящему трафику ip адрес источника порт источника протокол ip адресс получателя порт получателя Access List применяются в двух направлениях 1. На входящий трафик (трафик входит в роутер) 2. На исходящий трафик (трафик выход из роутера) -------------------------------------------- Правила работают сверху вниз. Терминирующие правила. Верхние правило отработало на нижние уже не пойдет. deny ip any any - не явное правило (если есть любое правило) -------------------------------------------- действие тип_трафика откуда/хост куда/хост значение какой значение permit/deny tcp/udp host IP host IP eq permit/deny tcp/udp any any eq -------------------------------------------- пример компы: vlan5 192.168.5.2 server vlan4 192.168.4.2 admin vlan3 192.168.3.2-3 users vlan3 192.168.3.100 admin user vlan2 192.168.2.2 buh пример наш роутер: 192.168.[2-5].1 внутренний адрес 210.210.0.2 внешний адрес пример провайдер роутер: 210.210.0.1 внешний адрес (шлюз) 210.210.1.1 внешний адрес 210.210.1.2 внешний ресурс -------------------------------------------- Стандартный Access list: enable - входим в привилегированный режим config t - входим в режим глобальной настройки ip access-list standart FOR-NAT - даем имя FOR-NAT permit 192.168.2.0 0.0.0.255 - разрешаем сеть (используется cisco Wildcard masc) permit 192.168.3.0 0.0.0.255 - разрешаем сеть (используется cisco Wildcard masc) permit 192.168.4.0 0.0.0.255 - разрешаем сеть (используется cisco Wildcard masc) exit - вышли из настройки ip access-list standart FOR-NAT ip nat inside source list FOR-NAT interface gigabitEthernet 0/0 overload - применяем Access list FOR-NAT включаем NAT. (PAT) exit - вышли из config t write mem - сохранили настройки -------------------------------------------- Расширенный Access list: enable - входим в привилегированный режим configure terminal - входим в режим глобальной настройки ip access-list extended FROM-OUTSIDE - создаем дист FROM-OUTSIDE deny ip any 192.168.2.0 0.0.0.255 - запрещаем сеть (используется cisco Wildcard masc) deny ip any 192.168.3.0 0.0.0.255 - запрещаем сеть (используется cisco Wildcard masc) deny ip any 192.168.4.0 0.0.0.255 - запрещаем сеть (используется cisco Wildcard masc) deny ip any 192.168.5.0 0.0.0.255 - запрещаем сеть (используется cisco Wildcard masc) permit ip any host 210.210.0.2 - разрешаем трафик на внешний интерфейс exit - вышли из настройки ip access-list extended FROM-OUTSIDE interface gigabitEthernet 0/0 - зашли в настройку ip access-group FROM-OUTSIDE in - привязали правило к интерфейсу gigabitEthernet 0/0 exit - вышли из настройки interface gigabitEthernet 0/0 exit - вышли из config t write mem - сохранили настройки -------------------------------------------- Более верный расширенный Access list: enable - входим в привилегированный режим configure terminal - входим в режим глобальной настройки no ip access-list extended FROM-OUTSIDE - удаляем Access list с именем FROM-OUTSIDE ip access-list extended FROM-OUTSIDE - создаем Access list с именем FROM-OUTSIDE deny tcp any host 210.210.0.2 eq telnet - запрещаем доступ к telnet permit ip any host 210.210.0.2 - разрешаем трафик на внешний интерфейс остальной трафик в локальную сеть будет закрыт т.е на сети например 192.168.2.0 попасть будет нельзя не гласное правило "deny ip any any" end - вышли из конфига write mem - сохранили настройки -------------------------------------------- Стандартный Access list применяем для безопасности сервера: enable - входим в привилегированный режим configure terminal - входим в режим глобальной настройки ip access-list standard TO-SERVER - создаем стандартный Access list с именем TO-SERVER permit 192.168.2.0 0.0.0.255 - (cisco wild card mask) разрешили трафик для сети 192.168.2.0/24 exit - вышли из config t interface gigabitEthernet 0/1.5 - открыли настройку саб интерфейс gigabitEthernet 0/1.5 ip access-group TO-SERVER out - добавили группу TO-SERVER на выходе из интерфейса end - вышли из конфига write mem - сохранили настройки -------------------------------------------- расширенный Access list применяем к пользователям: enable - входим в привилегированный режим configure terminal - входим в режим глобальной настройки ip access-list extended FROM-USERS - создаем расширенный Access list с именем FROM-USERS permit tcp 192.168.3.0 0.0.0.255 host 210.210.1.2 eq www - разрешаем для сети 192.168.3.0/24 ходить на сервер 210.210.1.2 на 80 порт permit ip host 192.168.3.100 host 210.210.1.2 - разрешаем 192.168.3.100 любой трафик на 210.210.1.2 deny ip 192.168.3.0 0.0.0.255 host 210.210.1.2 - запрещаем весь трафик для 192.168.3.0/24 на 210.210.1.2 permit ip any any - разрешаем остальной трафик exit - вышли из ip access-list extended FROM-USERS interface gigabitEthernet 0/1.3 ip access-group FROM-USERS in end - вышли из конфига write mem - сохранили настройки -------------------------------------------- пример конфиг свитча: hostname Switch interface FastEthernet0/1 switchport access vlan 2 interface FastEthernet0/2 switchport access vlan 3 interface FastEthernet0/3 switchport access vlan 3 interface FastEthernet0/4 switchport access vlan 4 interface FastEthernet0/5 switchport access vlan 5 interface FastEthernet0/6-23 shutdown interface FastEthernet0/24 switchport trunk allowed vlan 2-5 switchport mode trunk -------------------------------------------- пример конфиг роутера: hostname Router enable password cisco username admin privilege 15 password 0 cisco interface GigabitEthernet0/0 description outside ip address 210.210.0.2 255.255.255.252 ip access-group FROM-OUTSIDE in ip nat outside duplex auto speed auto interface GigabitEthernet0/1 no ip address duplex auto speed auto interface GigabitEthernet0/1.2 description buh encapsulation dot1Q 2 ip address 192.168.2.1 255.255.255.0 ip nat inside interface GigabitEthernet0/1.3 description users encapsulation dot1Q 3 ip address 192.168.3.1 255.255.255.0 ip access-group FROM-USERS in ip nat inside interface GigabitEthernet0/1.4 description admin encapsulation dot1Q 4 ip address 192.168.4.1 255.255.255.0 ip nat inside interface GigabitEthernet0/1.5 description srv encapsulation dot1Q 5 ip address 192.168.5.1 255.255.255.0 ip access-group TO-SERVER out interface Vlan1 no ip address shutdown ip nat inside source list FOR-NAT interface GigabitEthernet0/0 overload ip route 0.0.0.0 0.0.0.0 210.210.0.1 ip access-list standard FOR-NAT permit 192.168.2.0 0.0.0.255 permit 192.168.3.0 0.0.0.255 permit 192.168.4.0 0.0.0.255 ip access-list extended FROM-OUTSIDE deny tcp any host 210.210.0.2 eq telnet permit ip any host 210.210.0.2 ip access-list standard TO-SERVER permit 192.168.2.0 0.0.0.255 permit host 192.168.3.100 ip access-list extended FROM-USERS permit tcp 192.168.3.0 0.0.0.255 host 210.210.1.2 eq www permit ip host 192.168.3.100 host 210.210.1.2 deny ip 192.168.3.0 0.0.0.255 host 210.210.1.2 permit ip any any -------------------------------------------- пример конфиг роутера злого провайдера: hostname Router interface FastEthernet0/0 ip address 210.210.0.1 255.255.255.252 interface FastEthernet0/1 ip address 210.210.1.1 255.255.255.0 ip route 192.168.0.0 255.255.0.0 210.210.0.2 --------------------------------------------