━━━━ ◇ ━━━━
정보보안실무/네트워크

Net.14 GNS3 ACL(접근 제어 목록) 규칙 작성 및 적용

728x90
반응형

구축환경
GNS3 - (https://www.gns3.com/software/download)

ACL(Access Control List - 접근 제어 목록) 

Standard(표준) ACL - 출발지 주소 기준
Extended(확장) ACL - 목적지/출발지 주소, 프로토콜, 서비스 등 

Numbered ACL / Named ACL (목적지에 가장 가까운 인터페이스에 설정) 
- 정책 설정 규칙


\\조건\\
A - > 100.32 네트워크에 접속 불가
B - > 접속이 가능
그 외 다른 모든 출발지에서의 트래픽은 허용

목적지에 가장 가까운 라우터 부터
Router>en
Router#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
Router(config)#access-list ?
  <1-99>     IP standard access list
  <100-199>  IP extended access list
Router(config)#access-list 10 ?
  deny    Specify packets to reject
  permit  Specify packets to forward
  remark  Access list entry comment
Router(config)#access-list 10 deny host 192.168.100.10  
(첫번째 정책. 100.10에서 오는 건 deny해라) 
Router(config)#access-list 10 permit 192.168.100.0 0.0.0.31
Router(config)#access-list 10 permit any
(any를 선언하지 않으면 sh로 정책을 봐도 보이지 않게된다) 

- 이 정책만으로는 아무런 의미가 없기때문에 적용해야한다 -

ACL 10번 적용
Router(config)#int gi0/0
Router(config-if)#ip access-group 10 ?
  in   inbound packets
  out  outbound packets
(대부분은 out방향으로 주면되고 원격을 쓰는 경우는 in으로 주기도 한다) 
Router(config-if)#ip access-group 10 out

sh ip access-list 로 확인

[정책 날리는 방법]
Router(config)#no access-list 10
Router(config)#int gi0/0
Router(config-if)#no ip access-group 10 out




[EXTENDED]
==조건==
A - > 웹서버로 웹접속은 가능하지만 ping은 불가능하도록
B - > ping은 가능하지만 ftp접속은 불가능하도록 
그 외 다른 모든 프래픽은 허용

Router(config)#access-list 100 deny tcp 192.168.100.0 255.255.255.224 host 192.168.100.130 eq ftp
Router(config)#access-list 100 permit ip any any
Router(config)#int gi0/0
Router(config-if)#ip access-group 100 out

Router(config)#access-list 100 deny icmp host 192.168.100.10 host 192.168.100.180 echo
Router(config)#access-list 100 deny icmp host 192.168.100.10 host 192.168.100.180 echo-reply
Router(config)#access-list 100 permit tcp host 192.168.100.20 host 192.168.100.130 eq ftp
Router(config)#access-list 100 deny tcp 192.168.100.0 255.255.255.224 host 192.168.100.130 eq ftp

ip access-list extended testacl
deny tcp host 주소 host 주소 eq ftp



확장형 ping 사용방법
#ping
protocol [ip]
target ip address: 주소
reapeat coutn [5];
datagram size [100]:
timeout in seconds [2]
extended commands [n]: y
source address or interface:

728x90
반응형
저작자표시 비영리 변경금지

'정보보안실무 > 네트워크' 카테고리의 다른 글

Net.16 GNS3 pfSense 구축, static, 방화벽 설정  (0) 2023.04.16
Net.15 GNS3 소소한 팁들  (0) 2023.04.16
Net.13 GNS3 Dynamic 설정하기  (0) 2023.04.16
Net.12 GNS3 NAT, PAT (static 설정)  (0) 2023.04.16
Net.11 GNS3 FHRP(HSRP, VRRP, GLBP) 구축 및 설정  (0) 2023.04.16
COMMENT