АвтоАвтоматизацияАрхитектураАстрономияАудитБиологияБухгалтерияВоенное делоГенетикаГеографияГеологияГосударствоДомДругоеЖурналистика и СМИИзобретательствоИностранные языкиИнформатикаИскусствоИсторияКомпьютерыКулинарияКультураЛексикологияЛитератураЛогикаМаркетингМатематикаМашиностроениеМедицинаМенеджментМеталлы и СваркаМеханикаМузыкаНаселениеОбразованиеОхрана безопасности жизниОхрана ТрудаПедагогикаПолитикаПравоПриборостроениеПрограммированиеПроизводствоПромышленностьПсихологияРадиоРегилияСвязьСоциологияСпортСтандартизацияСтроительствоТехнологииТорговляТуризмФизикаФизиологияФилософияФинансыХимияХозяйствоЦеннообразованиеЧерчениеЭкологияЭконометрикаЭкономикаЭлектроникаЮриспунденкция

Access-list 10 permit any

 

В этом списке:

- запрещен весь трафик хосту с IP адресом 11.0.0.5;

- запрещен весь трафик в сети 12.0.0.0/8 (в правиле указывается не реальная маска подсети, а ее шаблон);

- весь остальной трафик разрешен.

 

В расширенных списках доступа вслед за указанием действия ключами permit или deny должен находиться параметр с обозначением протокола (возможны протоколы IP, TCP, UDP, ICMP), который указывает, должна ли выполняться проверка всех пакетов IP или только пакетов с заголовками ICMP, TCP или UDP. Если проверке подлежат номера портов TCP или UDP, то должен быть указан протокол TCP или UDP (службы FTP и WEB используют протокол TCP).

При создании расширенных списков в правилах доступа можно включать фильтрацию трафика по протоколам и портам. Для указания портов в правиле доступа указываются следующие обозначения (таблица 10.1):

Таблица 10.1.

обозначение действие
lt n Все номера портов, меньшие n.
gt n Все номера портов, большие n.
eq n Порт n
neq n Все порты, за исключением n.
range n m Все порты от n до m включительно.

Распространенные приложения и соответствующие им стандартные номера портов приведены в следующей таблице 10.2:

 

Таблица 10.2.

Номер порта Протокол Приложение Ключевое слово в команде access_list
  TCP FTP data ftp_data
  TCP Управление сервером FTP ftp
  TCP SSH  
  TCP Telnet telnet
  TCP SMTP Smtp
  UDP, TCP DNS Domain
67, 68 UDP DHCP nameserver
  UDP TFTP Tftp
  TCP HTTP (WWW) www
  TCP POP3 pop3
  UDP SNMP Snmp

 

 

Пример расширенного списка доступа №111:

 

! Запретить трафик на порту 80 (www-трафик)

Ip access-list 111 deny tcp any any eq 80

Ip access-list 111 deny ip host 10.0.0.15 host 12.0.0.5

Ip access-list 111 permit ip any any

 

Interface ethernetO

! Применить список доступа 111 к исходящему трафику

Ip access-group 111 out

 

В этом списке внешние узлы не смогут обращаться на сайты внутренней сети, т.к. список доступа был применен на выход (для внешних узлов) интерфейса, а так же узлу 10.0.0.15 запрещен доступ к узлу 12.0.0.5

Остальной трафик разрешен.

 

Этап третий – применение списка доступа.

 

Списки доступа могут быть использованы для двух типов устройств:

1 – на маршрутизаторе;

2 - на коммутаторе третьего уровня.

 

На каждом интерфейсе может быть включено два списка доступа: только один список доступа для входящих пакетов и только один список для исходящих пакетов.

Каждый список работает только с тем интерфейсом, на который он был применен и не действует на остальные интерфейсы устройства, если он там не применялся.

Однако один список доступа может быть применен к разным интерфейсам.

Применение списка доступа к устройству осуществляется следующими командами:

 


1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | 11 |

Поиск по сайту:



Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. Студалл.Орг (0.004 сек.)