111219 - access list

acl = access control list
1-99 standard access list
100~199 extended, 또는 2000~2699

R1# access-list <List-number > <permit | deny> <ip address>

access-list 10 deny 10.10.10.1 0.0.0.0 //(와일드 마스크) 리스트 넘버는 1~100 아무거나..가 스탠다드
access-list 10 permit any //나머지는 다 허용하겠다
access-list 10 deny host 10.10.10.1  하면 저것만 차단하는거

네트워크도 마찬가지
access-list 20 deny 10.10.10.0 0.0.0.255
access-list 20 permit any  //하면된다

access-list <list-number> <permit | deny> <ip address>

ccna는 이 이론으로 충분히 가능하다. 문제은행 객관식이라 쉽다.
d-dos공격은 이걸로 막을 수 있나?
실습 3개중 1개가 access-list
1개는 rip,ospf,eigrp

하루이틀 공부하고 시험볼 수 있다함

1) ACL (Access Control List)

- Packet의 Header를 검사해서 허용 하거나 거부하는 리스트

- Standard Access-list 와 Extended Access-list가 있다.

- 생성된 Access-List는 다양한 곳에 적용을 할 수 있고, 적용을 시켜야 해당 Access-List가 필터링 된다.

즉, Access-List만 생성한 경우에는 아무런 필터링은 되지 않는다.

- Interface에 Access-List를 적용하면 해당 Interface로 Inbound 되거나, Outbound 되는 Packet을 허용 또는 거부할 수 있다.

2) List-Number

Router(config)# access-list ?

<1-99> IP standard access list

<100-199> IP extended access list

<1100-1199> Extended 48-bit MAC address access list

<1300-1999> IP standard access list (expanded range)

<200-299> Protocol type-code access list

<2000-2699> IP extended access list (expanded range)

<700-799> 48-bit MAC address access list

dynamic-extended Extend the dynamic ACL absolute timer

rate-limit Simple rate-limit specific access list

3) Standard Access-List

- Source IP Address만 검사해서 허용 하거나 거부하는 List를 만든다.

4) Extended Access-List

- Source IP Address , Destination IP Address , Protocol , Port Number를 검사해서 허용 하거나 거부하는 List를 만든다.

 

 

5) Standard Access-List Configuration

R1(config)# access-list <List-Number> <Permit | Deny>

<Source IP Address> <Wildcardmask>

<List-Number> ==> 1 ~ 99 , 1300 ~ 1999 사이 번호를 사용한다.

<Permit | Deny> ==> 허용 | 거부

- List-Number는 Sequence Number가 아니기 때문에 번호순서로 사용하는 것이 아니라 Group 번호 의미를 갖는다.

 

>> Standard Access-List Example 1

- 10.10.10.1/32 Host만 차단

Router(config)# access-list 10 deny 10.10.10.1 0.0.0.0

Router(config)# access-list 10 permit any

>> Standard Access-List Example 2

- 10.10.10.0/24 Subnet에 모든 Host 차단

access-list 20 deny 10.10.10.0 0.0.0.255

access-list 20 permit any  //하면된다

 

 

 

6) Extendard Access-List Configuration

Router(config)# access-list <List-Number> <Permit | Deny> <Protocol>

<Source IP Address> <Wildcardmask>

<Destnation IP Address> <Wildcardmask> <Option>

<List-Number> ==> 100 ~ 199 , 2000 ~ 2699 사이 번호를 사용한다.

<Protocol> ==> IP, ICMP, IGMP, TCP, UDP

<Option> ==> TCP(Port, Flag), UDP(Port), IGMP(Type, Code)

>> Extendard Access-List Example 1

- 192.168.1.0/24에 해당되는 IP를 갖는 모든 호스트는 192.168.2.0/24에 해당되는 목적지로 Packet을 전달을 차단하라.

Router(config)# access-list 100 deny ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255

Router(config)# access-list 100 permit ip any any

 

>> Extendard Access-List Example 2

- 192.168.1.0/24 Subnet을 사용하는 회사 내부 사용자들이 FTP를 사용할 없도록 설정 하시오.

Router(config)# access-list 110 deny tcp 192.168.1.0 0.0.0.255 any eq 21

Router(config)# access-list 110 deny tcp 192.168.1.0 0.0.0.255 any eq 20

Router(config)# access-list 110 permit ip any any

Eq는 equal 포트에서만

port번호를 모르면 ftp, dns 이렇게 가능

>> Extendard Access-List Example 3

 

- 192.168.1.0/24 Subnet을 사용하는 회사 내부 사용자들이 허용 목록들에 대해서는 허용 하고 나머지는 거부하라.

- 허용목록 : DNS , HTTP , SMTP ,https

Access-list 111 permit udp 192.168.1.0 0.0.0.255 any eq domain (53)

Access-list 111 permit tcp 192.168.1.0 0.0.0.255 any eq smtp (25)

Access-list 111 permit tcp 192.168.1.0 0.0.0.255 any eq www (80)

Access-list 111 permit tcp 192.168.1.0 0.0.0.255 any eq 443

// 기본이 거부된 상태라서 Access-list 111 deny any any 안해도됨

 

-단일 호스트(192.168.1.1)에서 서버(192.168.1.10) (서버도 한대)로 접근 차단

Access-list 112 deny ip host 192.168.1.1 host 192.168.1.10

Access-list 112 permit any any

//하나만 할때는 host? 서브넷이 없는 이유는 한대라서…서브넷 되어있으면 와일드카드 입력해라

 

>> Access-List 적용 Example    //위에는 설정만 한거고...이거 해야됨
ip access-group <access-list number?> <in | out>
외부에서 오면  out, 밖으로 나가는건 in...뭔가 햇갈리네
HQ는 out R1의 경우 in이라는거 같은데

Router(config)# interface fastethernet 1/0

Router(config-if)# ip access-group 10 in   

Router(config)# interface serial 0/0

Router(config-if)# ip access-group 100 out
설정하는 인터페이스 중심으로 들어오는건 in 나가는건 out으로 한다


 
## Access-list 문제 ##

[문제1]
외부에서 들어오는 Packet중 출발지 주소가 212.10.10.1만 허용하고 나머지는
거부 하시오.

access-list 1 permit 212.10.10.1 0.0.0.0
!
int s1/0
 ip access-group 1 in

  or

int fa0/0
 ip access-group 1 out

 

[문제2]
외부에서 들어오는 Packet중 목적지 주소가 해당 IP
(210.112.233.10 ~ 210.112.233.12)만 허용하고 나머지는 거부 하시오.

이게 맞냐?

access-list 2 permit any host 212.112.233.10
access-list 2 permit any host 212.112.233.11
access-list 2 permit any host 212.112.233.12
int s1/0
 ip access-group 2 in
 or
int fa0/0
 ip access-group 2 out

 

[문제3]
192.168.1.0/24 Subnet을 사용하는 회사 내부 사용자들은 허용 목록들에
대해서 허용 하고, 다른 Subnet 대역은 거부하라.

허용목록 : DNS , HTTP , SMTP

 

[문제4]
외부에서 210.112.233.0/24 네트워크 대역으로 접근 하는 Packet중
FTP , TELNET 서비스는 거부하고 나머지는 허용 하시오.

 FTP(210.112.233.253) / TELNET(210.112.233.254)

 

192.168.1.0/25 subnet만 텔넷접속을 허용하라
탤넷의 경우..터미널에 지정하고 엑세스설정 동일
access-list 100 permit tcp 192.168.1.0 0.0.0.128 any eq 23  //엑세스설정 동일
line vty 0 4
access-class 100 in   //이게 지정이지 먼가 쉽나?