<p>
W poprzednim rodziale dowiedzieliśmy się czym są ACL-ki i w jaki
sposób możemy wykorzystać je do kształtowania ruchu. Poznaliśmy
- również podstawowe polecenie, ale bez ich omawiania. Ten rozdział
- przedstawi nam w jaki sposób tworzy oraz modyfikować, standardowe i
+ również podstawowe polecenia, ale bez ich omawiania. Ten rozdział
+ przedstawi nam w jaki sposób tworzyć oraz modyfikować, standardowe i
rozszerzone listy ACL oraz dodatkowo jak wykorzystać ACL do kontroli
zdalnego dostępu do urządzeń.
</p>
przełożyć te zasady na polecenia IOS, w tym momencie warto dołączać
komentarze. Kiedy nasza lista jest hipotetycznie gotowa, możemy ją
skopiować do środowiska testowego - może to być PT lub fizyczne
- urządzenie.
+ urządzenia.
</p>
<p>
Chcąc utworzyć standardową numerowaną listę ACL w konfiguracji
</p>
<ul>
<li><code class="code-inline">access-list-number</code> - numer listy
- ACL, dla standardowych listy jest od 1 do 99 lub 1300 do 1999.</li>
+ ACL, dla standardowych list jest od 1 do 99 lub 1300 do 1999.</li>
<li><code class="code-inline">deny</code> - odmowa dostępu, jeśli
warunek został spełniony.</li>
<li><code class="code-inline">permit</code> - udzielenie dostępu,
sposobem jest użycie <strong>numerów sekwencyjnych</strong>.
</p>
<p>
- Numery skwencyjne wyświetlane są gdy używamy polecenia
+ Numery sekwencyjne wyświetlane są gdy używamy polecenia
<code class="code-inline">show access-list</code> do wyświetlenia
list ACL.
</p>
R1#
</pre>
<p>
- W przypadku nazwanej listy postępujemy podobnie, tylko zamiast numery
+ W przypadku nazwanej listy postępujemy podobnie, tylko zamiast numeru
podajemy nazwę. Użycie numerów sekencyjnych daje nam jeszcze jedną
- dodatkową nazwę funkcję mianowicie pozwala nam wprowadzać wpisy w
+ dodatkową funkcję, mianowicie pozwala nam wprowadzać wpisy w
konkretne miejsca, na liście. Biorąc pod uwagę poprzedni przykład
chcąc dodać host 192.168.10.5, którego ruch ma również zostać
zablokowany, to jeśli dopiszemy ją to ta reguła nie będzieć mieć
Chcąc wstawić w regułę edytujemy listę za pomocą polecenia
<code class="code-inline">ip access-list</code> następnie
rozpoczynamy wpis od numer np. 15. Na koniec opuszczamy tryb
- konfiguracji listy i wyświetlamy zawartość listy. Wydaje mi się, że
+ konfiguracji listy i wyświetlamy zawartość listy. Wydawać by się
+ mogło, że
nie takiego efektu się spodziewaliśmy. Ten efekt jest spowodowany
działaniem funkcji mieszaczjącej na standardowych listach ACL dla
IPv4.
</p>
<p>
Wyświetlając listę za pomocą polecenia
- <code class="code-inline">show access-lists</code> możemy zauważyć
+ <code class="code-inline">show access-lists</code> możemy zauważyć,
że IOS zlicza przypasowania do wpisów w ACL, dzięki czemu możemy
- zauważyć, czy te wpisy mają w ogóle zastosowanie. Czyszcenia
+ zauważyć, czy te wpisy mają w ogóle zastosowanie. Czyszczenia
liczników możemy dokonać za pomoca polecenia:
</p>
<pre class="code-block">
</p>
<h2 id="3.5.3.securingvtylinesviastdaclsforipv4">3.5.3. Zabezpieczenia linii VTY za pomocą standardowyej ACL IPv4.</h2>
<p>
- Przy użyciu ACL może określić, kto może się podłączyć do naszego
+ Przy użyciu ACL możemy określić, kto może się podłączyć do naszego
urządzenia zdalnie, a kto nie. Cała metoda polega na utworzeniu
standardowej listy ACL i następnie na liniach VTY możemy za pomocą
polecenia <strong>access-class</strong> wskazać ACL, która będzie
- zezwalać lub blokować zdalny dostę dla zapisanych w niej sieciach lub
- hostach. Poniżej znajduej się składania polecenia
+ zezwalać lub blokować zdalny dostęp dla zapisanych w niej sieciach
+ lub hostach. Poniżej znajduje się składania polecenia
<em>access-class</em>:
</p>
<pre class="code-block">
<p>
Rozszerzone listy ACL pozwalają nam na dodanie większej ilości
kryteriów dopasowania pakietów. Listy rozszerzone podobnie jak listy
- standardowe również mogą być numerowane oraz nazwa. Składnia tworząca
- listę wraz ze wpisem wygląda następująco:
+ standardowe również mogą być numerowane oraz nazwane. Składnia
+ tworząca listę wraz ze wpisem wygląda następująco:
</p>
<pre class="code-inline">
Router(config)# access-list access-list-number {deny | permit | remark text}
wchodzący do interfejsu sieci wewnętrznej, zezwalający np. jej
użytkownikom na korzystanie z HTTP/S. Wówczas hosty naszej sieci,
nie będą mogły korzystać z innych protokołów, jednak ta pojedyncza
- lista daje możliwość skomunikowania się z hostami naszej sieci przez
- hosty z zewnątrz. Potrzebujemy drugiej ACL-ki, która zablokuje taką
+ lista daje możliwość skomunikowania się z hostami naszej sieci
+ z zewnątrz. Potrzebujemy drugiej ACL-ki, która zablokuje taką
możliwość. Mogli byś my utworzyć pustą listę i przypisać ją do
kierunku wychodzącego naszego interfejsu wewnętrzego i to tyle. Cały
ruch zablokowany, w tym odpowiedzi od serwerów WWW dla hostów naszej
sieci. Oczywiście przy takiej transmisji moglibyśmy dopuścić ruch
na porcie źródłowym TCP/80 lub TCP/443 (HTTP, HTTPS). Co nie jest
dobrym rozwiązaniem, ponieważ nie jest problemem wysłanie pakietu
- o sfałszowanym porcie źródłowym. W tym przypadku z korzystamy z
+ o sfałszowanym porcie źródłowym. W tym przypadku skorzystamy z
wpisu dopuszczającego cały TCP dla sieci 192.168.10.0/24, ale tylko
dla połączeń już nawiązanych, blokując tym samym możliwość nawiązania
nowego połączenia z zewnatrz temu służy opcja
Wiele pozostałych czynności dokonywanych na listach rozszerzonych
dokonuje się w sposób analogiczny do listy standardowych. Przyczym
w przypadku wstawiania zasad do listy, to na listach rozszerzonych
- nie działa algorytm mieszczający, zatem kolejność wpisów powinna być
+ nie działa algorytm mieszający, zatem kolejność wpisów powinna być
taka jaką my sobie zadeklarowaliśmy, ale nie jak ustalił to IOS.
</p>
<p>
projects / mmdev.git / commitdiff