Skip to content


Cisco ACL

К, примеру, стоит задача заблокировать отправку почты по протоколу SMTP для пользователя с затрояненной машинкой, которая рассылает спам. Создаем расширенный список доступа:

  1. ip access-list extended spamblock
  2. deny tcp any any eq smtp
  3. permit ip any any

Вешаем созданный список доступа на нужный интерфейс:

  1. interface Fa0/0.x
  2. ip access-group spamblock in

Другой пример – разрешаем трафик только для двух заданных хостов (10.10.10.1 и 10.10.10.254) + icmp-трафик для сети 172.16.0.0/19, все остальное запрещаем:

  1. ip access-list extended client1_in_rules
  2.   permit ip host 10.10.10.1 any
  3.   permit ip host 10.10.10.254 any
  4.   permit icmp 172.16.0.0 0.0.31.255 any
  5.   deny ip any any
  6. ip access-list extended client1_out_rules
  7.   permit ip any host 10.10.10.1
  8.   permit ip any host 10.10.10.254
  9.   permit icmp any 172.16.0.0 0.0.31.255
  10.   deny ip any any
  11.  
  12. interface FastEthernet0/0.77
  13.   description client1
  14.   encapsulation dot1Q 77
  15.   ip address 10.10.10.7 255.255.255.0
  16.   ip access-group client1_out_rules in
  17.   ip access-group client1_in_rules out
  18.   no cdp enable
  19. !

Следует учитывать, что здесь в именах ACL-ей слова "in" и "out" используются с точки зрения клиента, а ключевые слова "in" и "out" в конце выражений "ip access-group" используются с точки зрения маршрутизатора. Т.е. что для клиента входящий трафик, то для клиентского подинтерфейса роутера – исходящий и наоборот.

.

Размещено в категории Cisco. Теги: , .

Комментариев: 6

Чтобы быть всегда в курсе здесь происходящего, Вы можете подписаться на RSS feed для комментариев на эту заметку.

  1. Admin said

    В deny/permit фразах помимо ip и tcp допустимы еще следующие протоколы (по крайней мере, для Cisco 2620):
    <0-255> An IP protocol number
    ahp Authentication Header Protocol
    eigrp Cisco's EIGRP routing protocol
    esp Encapsulation Security Payload
    gre Cisco's GRE tunneling
    icmp Internet Control Message Protocol
    igmp Internet Gateway Message Protocol
    ipinip IP in IP tunneling
    nos KA9Q NOS compatible IP over IP tunneling
    ospf OSPF routing protocol
    pcp Payload Compression Protocol
    pim Protocol Independent Multicast
    udp User Datagram Protocol

  2. Артур Конев said

    Прикольненькую тему для WordPress поставили. Сами дизайнили или стандартную где брали? :)

  3. На коммутаторах Cisco Catalyst 2960, говорят, тоже работает, несмотря на то, что маршрутизацию они не умеют. Но только для ИСходящего трафика (т.е. можно сказать для физического интерфейса что-то типа такого: "ip access-group somelist in"). Сам лично не проверял, это по заявлению xeon-a.

  4. Petros said

    xeon был прав, на 2960 работает

  5. Alex V said

    Когда я читаю лекцию по ACL для новичков, то обычно говорю про NBAR, идеология которого если и не подходит для широкого использования, то уж точно помогает понять принцип=)

  6. Вот тоже несколько примеров для ACL! В дополнении к этой статье будет кому-то полезным!
    http://litl-admin.ru/content/detail.php?ID=137

Some HTML is OK

(required)

(required, but never shared)

, или ответить через trackback.

Страница 1 из 11