1. Standard Access-list
Access-list 선언하기
: 130.100.0.0/16을 제외한 모든 패킷 통과시키기
router# config t
router(config)# access-list 1 deny 130.100.0.0 0.0.255.255
router(config)# access-list 1 permit any
router(config)# exit
router#
선언한 access-list 확인
(1) router# show ip access-list
(2) router# sh ip access-list
※ 주의할 선언
router# config t
router(config)# access-list 1 permit any
router(config)# access-list 1 deny 130.100.0.0 0.0.255.255
router(config)# exit
router#
=> 이는 모든 패킷을 통과시키는 결과를 가져온다.
즉, 세번째 선언은 무효한 결과를 가져오는 것이다.
router# config t
router(config)# access-list 1 permit 130.100.0.0 0.0.255.255
router(config)# access-list 1 deny any
router(config)# exit
router#
=> 마찬가지로 세번째 선언은 불필요한 것이다.
Access-group 선언하기 : 이는 실제적으로 access-list를 적용시키기위해 꼭 필요한 과정이다.
in : Interface로 들어오는 패킷
out : interface를 나가는 패킷
=> 동시 선언 불가능
router# config t
router(config)# int s 0
router(config-if)# ip access-group 1 in
router(config-if)# ^Z
router#
2. Extended Access-list
130.100.0.0 과 130.120.0.0에대한 접근만 제한
router(config)# access-list 100 deny ip 130.100.0.0 0.0.255.255 130.120.0.0 0.0.255.255
router(config)# access-list 100 permit ip any any
router(config)# int e 0
router(config-if)# ip access-group 100 out
router(config-if)# ^Z
router#
130.120.0.0이 라우터를 지나 외부로 나가는 것을 추가적으로 제한하기 위해서는
router(config)# access-list 100 deny ip 130.100.0.0 0.0.255.255 130.120.0.0 0.0.255.255
router(config)# access-list 100 permit ip any any
router(config)# access-list 101 deny ip 130.120.0.0 0.0.255.255 any
router(config)# access-list 101 permit ip any any
router(config)# int e 0
router(config-if)# ip access-group 100 out
router(config-if)# ip access-group 101 in
router(config-if)# ^Z
router#
※ operator
lt : 작은 gt : 큰 eq : 같은 neq : 같지않은
established : TCP 세그먼트의 Ack 혹은 RST bit이 setting된것을 의미
비정상종료시 보내는 signal
내부에서 외부로 연결요청한 경우 그에 대한 응답을 모두허용하는 경우 사용
* 130.100.0.0은 인터넷 어디로든 접근할 수 있고, 인터넷에 있는 130.120.0.0은 130.100.0.0과 파일 송수신을
할 수 있고 130.140.1.2는 130.100.0.0으로 telnet을 허용하는 경우
router(config)# access-list 100 permit tcp 130.120.0.0 0.0.255.255 any eq ftp
router(config)# access-list 100 permit tcp 130.120.0.0 0.0.255.255 any eq ftp-data
router(config)# access-list 100 permit tcp host 130.140.1.2 any eq telnet
router(config)# access-list 100 permit tcp any 130.100.0.0 0.0.255.255 established
router(config)# int s 0
router(config-if)# ip access-group 100 in
router(config-if)# ^Z
Access-list 선언하기
: 130.100.0.0/16을 제외한 모든 패킷 통과시키기
router# config t
router(config)# access-list 1 deny 130.100.0.0 0.0.255.255
router(config)# access-list 1 permit any
router(config)# exit
router#
선언한 access-list 확인
(1) router# show ip access-list
(2) router# sh ip access-list
※ 주의할 선언
router# config t
router(config)# access-list 1 permit any
router(config)# access-list 1 deny 130.100.0.0 0.0.255.255
router(config)# exit
router#
=> 이는 모든 패킷을 통과시키는 결과를 가져온다.
즉, 세번째 선언은 무효한 결과를 가져오는 것이다.
router# config t
router(config)# access-list 1 permit 130.100.0.0 0.0.255.255
router(config)# access-list 1 deny any
router(config)# exit
router#
=> 마찬가지로 세번째 선언은 불필요한 것이다.
Access-group 선언하기 : 이는 실제적으로 access-list를 적용시키기위해 꼭 필요한 과정이다.
in : Interface로 들어오는 패킷
out : interface를 나가는 패킷
=> 동시 선언 불가능
router# config t
router(config)# int s 0
router(config-if)# ip access-group 1 in
router(config-if)# ^Z
router#
2. Extended Access-list
130.100.0.0 과 130.120.0.0에대한 접근만 제한
router(config)# access-list 100 deny ip 130.100.0.0 0.0.255.255 130.120.0.0 0.0.255.255
router(config)# access-list 100 permit ip any any
router(config)# int e 0
router(config-if)# ip access-group 100 out
router(config-if)# ^Z
router#
130.120.0.0이 라우터를 지나 외부로 나가는 것을 추가적으로 제한하기 위해서는
router(config)# access-list 100 deny ip 130.100.0.0 0.0.255.255 130.120.0.0 0.0.255.255
router(config)# access-list 100 permit ip any any
router(config)# access-list 101 deny ip 130.120.0.0 0.0.255.255 any
router(config)# access-list 101 permit ip any any
router(config)# int e 0
router(config-if)# ip access-group 100 out
router(config-if)# ip access-group 101 in
router(config-if)# ^Z
router#
※ operator
lt : 작은 gt : 큰 eq : 같은 neq : 같지않은
established : TCP 세그먼트의 Ack 혹은 RST bit이 setting된것을 의미
비정상종료시 보내는 signal
내부에서 외부로 연결요청한 경우 그에 대한 응답을 모두허용하는 경우 사용
* 130.100.0.0은 인터넷 어디로든 접근할 수 있고, 인터넷에 있는 130.120.0.0은 130.100.0.0과 파일 송수신을
할 수 있고 130.140.1.2는 130.100.0.0으로 telnet을 허용하는 경우
router(config)# access-list 100 permit tcp 130.120.0.0 0.0.255.255 any eq ftp
router(config)# access-list 100 permit tcp 130.120.0.0 0.0.255.255 any eq ftp-data
router(config)# access-list 100 permit tcp host 130.140.1.2 any eq telnet
router(config)# access-list 100 permit tcp any 130.100.0.0 0.0.255.255 established
router(config)# int s 0
router(config-if)# ip access-group 100 in
router(config-if)# ^Z