ACL (10/18)

<실습>

 

※ 라우팅 기능이 꺼지는 명령어

 

※ L2기반에서 디폴트 게이트웨이 접속하는 명령어

 

※ 라우터에 웹 기능 활성화

 

※ 웹 접속하는 명령어

 

※ ID & 비밀번호 활성화

 

 

웹 서버로 접속하면 로그인을 하라는 명령과 함께 admin으로 로그인을 하게 되면 뜨는 창이다.

 

 

※ Access-list의 종류

 

- Standard Access-list (표준 ACL)

- Extended Access-list (확장 ACL)

- named Standard Access-list

- named Extended Access-list

 

● Standard Access-list

- IP 필터링

- IP Packet의 Source Address만을 검사하여 제어한다.

- Group Number : 1-99, 1300~1999

- IP Packet 차단 : Deny

 

ex)

 

-> 먼저 20번 대역이 필터링 되고

 

-> 나머지를 permit 시킨다.

 

※ 여러개 out이 되지 않고, 마지막에 out한 명령어만 적용이 된다. ※ 한 인터페이스에서 하나만 in/out된다.

 

※ 20번 대역이기 때문에 access-group을 20으로 주고 서버에서 나가는 쪽에 막을 거기 때문에 out을 한다.

 

 

※ 그러면 리눅스에서 패킷 필터가 되었다는 표시가 뜬다. 

 

※ 라우터에서 확인해보면 지나가지 못했다는 표시가 뜬다. (막힌 카운터가 10개)

 

※ no access-list 20을 하게 되면 20번 리스트에 있던 모든 내용이 다 지워진다.

 

※ access-group에서 선언했던 명령은 인터페이스를 들어간 후 지워줘야 한다.

 

※ 하나의 IP만 선언할 때 사용(호스트로 선언했기 때문에 뒤에 와일드 마스크가 필요가 없다.)

 

※ 똑같은 명령어지만 호스트 명령어가 있는 곳에서는 위에 명령을 사용하고 없는 곳에서는 아래 명령어를 사용한다.

 

※ 192.168.20.10번 대역만 거부가 되고, 나머지는 다 접속이 가능하다.

 

※ permit을 먼저하고 deny any를 설정하지 않아도 되지만, access-lists에서 카운터는 보이지 않는다.

 

※ access-list 텔넷 설정하는 방법

 

※ 설정 하면 192.168.20.10번 PC에선 Telnet으로 원격 접속이 가능하지만

 

※ 다른 PC에서는 접근이 불가능 하다고 나온다.

 

※ 확장형 access-list (100 ~ 199사이)

R1(config)#access-list 100 permit tcp 192.168.20.0 0.0.0.255 192.168.10.0 0.0.0.255 eq(equl) www(80번이라고 적어도 된다.)

 

※ 인터페이스 까지 설정을 마침

 

※ 핑은 가지 않지만

 

※ 웹 사이트 접근은 가능하다.

 

※ access-list ICMP 명령어1. R1(config)#access-list 100 permit icmp 192.168.20.0 0.0.0.255 192.168.10.0 0.0.0.255 echo

 

2. 출발지를 any로 했기 때문에 핑은 다 막힌다. (웹 사이트는 접근 가능)

 

ex) PC1는 Server 1만 Web 접근 허용

PC2는 Server 2만 Web 접근 허용

그 외 나머지 트래픽은 모두 Drop(차단)

 

- IP Packet 허용 :  Permit

- Any(all) : 모든 IP Packet

- Access-list를 제어 시 가장 기본적으로 적용되는 Default Command

-> Deny any (IP Packet을 모두 차단) : 보이지 않지만 마지막에 적용되는 명령

 

ex) Permit any

-> IP Packet을 모두 허용

ex) Deny any

-> IP Packet을 모두 차단

 

※ Standard access-list 제어문Router(config)# access-list [1~99] [Permit/Deny] [Source Address] [Wildcard Mask]- access-list 10 deny 192.168.30.0 0.0.0.255: 192.168.30.0 대역의 출발지 IP Packet 차단