90
(создается расширенный список доступа под номером 100, в данном случае
создается на маршрутизаторе).
Этап второй – ввод правил в список доступа:
Каждое, правило в списке доступа сдержит три важных элемента:
1 - число, идентифицирующее список при обращении к нему в других частях
конфигурации маршрутизатора или коммутатора третьего уровня;
2 - инструкцию
deny
(запретить) или
permit
(разрешить);
3 -
идентификатор пакета, который задается по одному из трех вариантов:
- адрес сети (например 192.168.2.0 0.0.0.255) – где вместо маски подсети
указывается шаблон маски подсети;
- адрес хоста (host 192.168.2.1);
- любой IP адрес (
any
).
Пример стандартного списка доступа №10:
access-list 10 deny host 11.0.0.5
access-list 10 deny 12.0.0.0 0.255.255.255
access-list 10 permit any
В этом списке:
- запрещен весь трафик хосту с IP адресом 11.0.0.5;
- запрещен весь трафик в сети 12.0.0.0/8 (в правиле
указывается не реальная
маска подсети, а ее шаблон);
- весь остальной трафик разрешен.
В расширенных списках доступа вслед за указанием действия ключами
permit или deny должен находиться параметр с обозначением протокола
(возможны протоколы IP, TCP, UDP, ICMP),
который указывает, должна ли
выполняться проверка всех пакетов IP или только пакетов с заголовками ICMP,
TCP или UDP. Если проверке подлежат номера портов TCP или UDP, то должен
быть указан протокол TCP или UDP (службы FTP и WEB используют протокол
TCP).
При создании расширенных списков в правилах доступа можно включать
фильтрацию трафика по протоколам и портам. Для указания портов в правиле
доступа указываются следующие обозначения (таблица 10.1):
Таблица 10.1.
обозначение
действие
lt n
Все
номера портов, меньшие n.
gt n
Все номера портов, большие n.
eq n
Порт n
neq n
Все порты, за исключением n.
91
range n m
Все порты от n до m включительно.
Распространенные приложения и соответствующие им
стандартные номера
портов приведены в следующей таблице 10.2:
Таблица 10.2.
Номер
порта
Протокол
Приложение
Ключевое слово в
команде access_list
20
TCP
FTP
data ftp_data
21
TCP
Управление
сервером FTP ftp
22
TCP
SSH
23
TCP
Telnet
telnet
25
TCP
SMTP
Smtp
53
UDP, TCP
DNS
Domain
67, 68
UDP
DHCP
nameserver
69
UDP
TFTP
Tftp
80
TCP
HTTP (WWW)
www
110
TCP
POP3
pop3
161
UDP
SNMP
Snmp
Пример расширенного списка доступа №111:
Достарыңызбен бөлісу: