Списки контроля доступа

5.3. Конфигурирование расширенных списков доступа

В отличие от стандартных списков доступа, где в качестве критерия фильтрации используется только один параметр - адрес источника, расширенные списки используют несколько параметров:

• адрес источника,
• адрес назначения,
• протокол,
• порт.

Формат команды создания расширенного списка доступа следующий:

Router(config)#access-list {номер} {permitили deny} {протокол} {адрес источника} {адрес назначения} {порт}
  

В поле протокола задается имя или номер (0 - 255) протокола сети Интернет. Наиболее часто используются протоколы IP, TCP, UDP, OSPF, RIP и др. Поле порта используется либо для задания номера (0 - 65535), либо - имени портов, например, FTP или Telnet.

Формат команды привязки списка доступа к интерфейсу аналогичен команде стандартного списка:

Router(config-if)#{протокол} access-group {номер} {in или out}
  

Пример 4. В сети ( рис. 5.3) необходимо:

1. разрешить одной рабочей станции 192.168.30.11 Сети 3 доступ к серверу Сети1 с IP-адресом 192.168.10.25 и адресом порта 8080;
2. разрешить всем рабочим станциям Сети2 с адресом 192.168.20.0 доступ к тому же серверу;
3. разрешить всем рабочим станциям доступ ко всем Web-серверам Сети

Для этого создается список доступа:

Router_А(config)#access-list 110 permit tcp host 192.168.30.11 host 192.168.10.25 eq 8080 
Router_А(config)#access-list 110 permit tcp 192.168.20.0 0.0.0.255 host 192.168.10.25 eq 8080 
Router_А(config)#access-list 110 permit tcp any any eq WWW
Router_А(config)#int g0/0
Router_А(config-if)#ip access-group 110 out
  

Запись any (все) эквивалентна записи 0.0.0.0 255.255.255.255, т.е. ни один бит адреса не должен анализироваться. Следовательно, в третьем условии Примера 4 записано требование, исключить фильтрацию по адресу источника и адресу назначения, т.е. запись permit tcp any any означает "разрешить доступ всем сегментам tcp ко всем узлам сети". Единственный критерий фильтрации - это порт eq WWW.

Запись eq означает требование анализа пакетов только с данным номером порта назначения. Вместо нее могла быть другая запись, например, neq, означающая требование анализа пакетов с другими номерами, за исключением данного. Запись range означает требование анализа пакетов с номерами портов в указанном диапазоне.

Пример 5. Необходимо в сети ( рис. 5.3) создать список доступа, чтобы:

1. блокировать рабочей станции 192.168.20.11 Сети 2 доступ по telnet в Сеть 1, но оставить доступ для другого сервиса;
2. блокировать рабочей станции 192.168.30.24 Сети 3 доступ по telnet в Сеть 1, но оставить доступ для другого сервиса;

Для этого создается список доступа:

Router_А(config)#access-list 115 deny tcp host 192.168.20.11 192.168.10.0 0.0.0.255 eq telnet 
Router_А(config)#access-list 115 deny tcp host 192.168.30.24 192.168.10.0 0.0.0.255 eq telnet
Router_А(config)#access-list 115 permit ip any any 
Router_А(config)#int g0/0
Router_А(config-if)#ip access-group 115 out
  

Третье условие Примера 4 предписывает исключить фильтрацию по адресу источника и адресу назначения всех IP-пакетов, т.е. всех сегментов TCPи UDP.

Удаление списков доступа производится с использованием отрицания no. Например, удаление списка доступа из предыдущего примера производится по команде:

RouterА(config)#no access-list 115