판도라상자 ::

'2007/11'에 해당되는 글 2건

2007/11/09 IP Access List
2007/11/09 192.168.1.47인 host에서 오는 패킷만 폐기하고 다른 모든 패킷은 허용하도록 설정

IP Access List

분류없음 2007/11/09 00:16

IP Access List
라우터를 경유하는 패킷을 필터링하는 명령어

IP Access List용도

보안(IP Packet Filter)
Qos
NAT
Rrouting Filter

IP Access list 종류-----------------------------------------------------------------

Standard IP Access list ?

Source IP를 검사해서 허용하거나 거부

Extended IP Access list ?

패킷의 Source IP,Destination IP,Protocol,Port를 검사하여 허용/거부

-----------------------------------------------------------------------------------

===========Standard IP Access list==================================================

EX> Router(config)#access-list

※Wildcardmask bit에서 0은 대응bit값을 검사하라는의미/ 1은 무시하라는 의미임

※모든 주소를 지정할 목적으로 0.0.0.0 255.255.255.255대신 any라는 문자를 사용가능

Listnumber :1~99, 1300~1999

Router(config)#access-list 20 permit 192.168.1.0 0.0.0.255

192.168.1.5는 거부를 하고 192.168.1.0/24는 허용하는 정책
Router(config)#access-list 20 deny 192.168.1.5 0.0.0.0
Router(config)#access-list 20 permit 192.168.1.0 0.0.0.255
192.168.1.0/24와 172.11.1.0/24는 거부를 하고 나머지는 허용하라
Router(config)#access-list 30 deny 192.168.1.0 0.0.0.255
Router(config)#access-list 30 deny 172.11.1.0 0.0.0.255
Router(config)#access-list 30 permit any

적용시키기
Router(config)#interface e0 (되도록이면 s1이나 s0보다 e0)
Router(config-if)#ip access-group 30 out

Standard 생성및적용시 주의사항

1. 만약에 적용되는 리스트가 없을 경우 임시적으로 거부
2. Access-list적용시 작은것은 먼저하고 큰것은 나중에 선언하는것이 좋다.
3. Access-list Interface에 적용시 Outbound에 적용하는 것이 좋다.
4. 한번적용하게 되면 수정/삽입이 불가능

===================================================================================

===========Extended IP Access-list=================================================

SA,DA,Protocol,Port를 검사해서 허용을 해제하거나 거부하는것

Router(config)#access-list

list-num: 100-199, 2000-2699
protocol: ip,icmp,igmp,tcp,udp
option : tcp(port,flag),udp(port),ip(no option),icmp,igmp(type,code)

주의사항
1.적용은 inbound intereface에 하는것이 좋다.
2. Access-list적용시 작은것은 먼저하고 큰것은 나중에 선언하는것이 좋다.
3. Access-list Interface에 적용시 Outbound에 적용하는 것이 좋다.
4. 한번적용하게 되면 수정/삽입이 불가능

ex>ip를 제어하는 예

192.168.1.x에 ip를 갖는 모든 호스트는 192.168.2.x에 목적지로 packet을 전달하지 않는경우

Router(config)#access-list 100 deny 192.168.1.0 0.0.0.255 192.168.2.0. 0.0.0.255

ex>회사 내부에서 ftp를 사용하지 못하게 하는경우

Router(config)#access-list 110 TCP deny 192.168.1.0 0.0.0.255 any eq 21
Router(config)#access-list 110 TCP deny 192.168.1.0 0.0.0.255 any eq 20

ex>회사 내부 사용자는 외부 TFTP서버에 접근할 수 없도록 설정
Router(config)#access-list 110 UDP deny 192.168.1.0 0.0.0.255 any eq 69

===================================================================================

Posted by 판도라80

Trackback 0 , Comment 0

192.168.1.47인 host에서 오는 패킷만 폐기하고 다른 모든 패킷은 허용하도록 설정

분류없음 2007/11/09 00:14

특정 192.168.1.47인 host에서 오는 패킷만 폐기하고 다른 모든 패킷은 허용하도록 설정

Router2#conf t

Router2(config)#access-list 1 deny 192.168.1.47 0.0.0.0
Router2(config)#access-list 1 permit any
Router2(config)#interface ethernet 0/0
Router2(config-if)#ip access-group 1 out
Router2(config-if)#exit
Router2(config)#exit
Router2#sh ip access-list
Standard IP access list 1
10 deny 192.168.1.47
20 permit any

Posted by 판도라80

Trackback 0 , Comment 0