Skip to content

Cisco ACL

К, примеру, стоит задача заблокировать отправку почты по протоколу SMTP для пользователя с затрояненной машинкой, которая рассылает спам. Создаем расширенный список доступа:

ip access-list extended spamblock
deny tcp any any eq smtp
permit ip any any

Вешаем созданный список доступа на нужный интерфейс:

interface Fa0/0.x
ip access-group spamblock in

Другой пример – разрешаем трафик только для двух заданных хостов (10.10.10.1 и 10.10.10.254) + icmp-трафик для сети 172.16.0.0/19, все остальное запрещаем:

ip access-list extended client1_in_rules
  permit ip host 10.10.10.1 any
  permit ip host 10.10.10.254 any
  permit icmp 172.16.0.0 0.0.31.255 any
  deny ip any any
ip access-list extended client1_out_rules
  permit ip any host 10.10.10.1
  permit ip any host 10.10.10.254
  permit icmp any 172.16.0.0 0.0.31.255
  deny ip any any
 
interface FastEthernet0/0.77
  description client1
  encapsulation dot1Q 77
  ip address 10.10.10.7 255.255.255.0
  ip access-group client1_out_rules in
  ip access-group client1_in_rules out
  no cdp enable
!

Следует учитывать, что здесь в именах ACL-ей слова "in" и "out" используются с точки зрения клиента, а ключевые слова "in" и "out" в конце выражений "ip access-group" используются с точки зрения маршрутизатора. Т.е. что для клиента входящий трафик, то для клиентского подинтерфейса роутера – исходящий и наоборот.

Похожие заметки:

  1. И снова о кошках: SDM templates
  2. Быстрая массовая правка конфигураций нескольких подинтерфейсов
  3. Port mirroring в Cisco Catalyst

Posted in Cisco.

Tagged with , .

rev="post-91" 6 коментарів

By Admin 09.02.2009

6 Responses

Stay in touch with the conversation, subscribe to the RSS feed for comments on this post.

  1. Admin says

    В deny/permit фразах помимо ip и tcp допустимы еще следующие протоколы (по крайней мере, для Cisco 2620):
    <0-255> An IP protocol number
    ahp Authentication Header Protocol
    eigrp Cisco's EIGRP routing protocol
    esp Encapsulation Security Payload
    gre Cisco's GRE tunneling
    icmp Internet Control Message Protocol
    igmp Internet Gateway Message Protocol
    ipinip IP in IP tunneling
    nos KA9Q NOS compatible IP over IP tunneling
    ospf OSPF routing protocol
    pcp Payload Compression Protocol
    pim Protocol Independent Multicast
    udp User Datagram Protocol

    19.03.2009, 12:21
  2. Артур Конев says

    Прикольненькую тему для WordPress поставили. Сами дизайнили или стандартную где брали? :)

    02.12.2009, 20:09
  3. Петровский says

    На коммутаторах Cisco Catalyst 2960, говорят, тоже работает, несмотря на то, что маршрутизацию они не умеют. Но только для ИСходящего трафика (т.е. можно сказать для физического интерфейса что-то типа такого: "ip access-group somelist in").

    11.12.2009, 12:53
  4. Petros says

    xeon был прав, на 2960 работает

    12.05.2010, 15:51
  5. Alex V says

    Когда я читаю лекцию по ACL для новичков, то обычно говорю про NBAR, идеология которого если и не подходит для широкого использования, то уж точно помогает понять принцип=)

    06.09.2010, 16:06
  6. Дмитрий says

    Вот тоже несколько примеров для ACL! В дополнении к этой статье будет кому-то полезным!
    http://litl-admin.ru/content/detail.php?ID=137

    25.12.2012, 06:27

You must be logged in to post a comment.

« »