пятница, 13 мая 2011 г.

Лабораторка Extended ACL

Расширенные листы доступа, позволяют фильтровать трафик основываясь на ip-адресах источника, назначения; портах приложений; типу протокола.
Простое правило, расширенный лист лучше всего применять как можно ближе к месту назначения.
Сценарий:
Компьютеры получают адреса по dhcp от сервера. На маршрутизаторах прописаны статические маршруты. На маршрутизаторах настроен доступ по telnet.
Требуется:
  • разрешить из сети 192.168.2.0/24 доступ к веб-серверу и серверу электронной почты, dhcp и dns. Запретить остальные tcp-соединения.
  • разрешить из сети 192.168.3.0/24 доступ к ftp-серверу, telnet, dhcp и dns. Запретить остальные tcp-соединения.
Топология:


Настройка:
R1:
R1(config)# access-list 100 permit tcp 192.168.2.0 0.0.0.255 any eq www
R1(config)# access-list 100 permit tcp 192.168.2.0 0.0.0.255 any eq pop3
R1(config)# access-list 100 permit tcp 192.168.2.0 0.0.0.255 any eq smtp
R1(config)# access-list 100 deny tcp any any
R1(config)# access-list 100 permit ip any any
R1(config)# interface fastethernet 0/0
R1(config-if)# ip access-group 100 in


R3:
R3(config)# access-list 100 permit tcp 192.168.3.0 0.0.0.255 any eq ftp
R3(config)# access-list 100 permit tcp 192.168.3.0 0.0.0.255 any eq telnet
R3(config)# access-list 100 deny tcp any any
R3(config)# access-list 100 permit ip any any
R3(config)# interface fastethernet 0/1
R3(config-if)# ip access-group 100 in

Проверяем конфигурацию:
Скачать: pkt-файл

PS отличие pkt в том что сеть 192.168.3.0/24 получает адреса от маршрутизатора R2. Что сути лабораторной работы не меняет.

7 комментариев:

  1. надо будет еще пример с ipfw на freebsd сделать. у него очень похожий лист правил для фильтрации трафика.

    ОтветитьУдалить
  2. для dhcp надо разрешить трафик udp... с такими acl компы в жизни по dhcp ничего не получат))

    ОтветитьУдалить
  3. а для чего по твоему параметр permit ip any any
    собрал лабу в GNS.
    все прекрасно раздалось.

    ОтветитьУдалить
  4. PS пруф-скриншот тут http://ubuntuone.com/3nSTSV1nHHsMq2Bvn5C8h4

    ОтветитьУдалить
  5. R1(config)# access-list 100 permit tcp 192.168.2.0 0.0.0.255 eq www


    Здесь отсутствует destination, есть только source. А вот на картинке destination представлен оператором any, после которого указывается порт. Делал лабу сначала по описаниям, потом понял, что чего-то не хватает.

    ОтветитьУдалить
    Ответы
    1. Этот комментарий был удален автором.

      Удалить
    2. Спасибо, исправил)! +5 к траблшутингу)

      Удалить

Примечание. Отправлять комментарии могут только участники этого блога.