구축환경
GNS3 - (https://www.gns3.com/software/download)
ACL(Access Control List - 접근 제어 목록)
Standard(표준) ACL - 출발지 주소 기준
Extended(확장) ACL - 목적지/출발지 주소, 프로토콜, 서비스 등
Numbered ACL / Named ACL (목적지에 가장 가까운 인터페이스에 설정)
- 정책 설정 규칙
\\조건\\
A - > 100.32 네트워크에 접속 불가
B - > 접속이 가능
그 외 다른 모든 출발지에서의 트래픽은 허용
목적지에 가장 가까운 라우터 부터
Router>en
Router#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#access-list ?
<1-99> IP standard access list
<100-199> IP extended access list
Router(config)#access-list 10 ?
deny Specify packets to reject
permit Specify packets to forward
remark Access list entry comment
Router(config)#access-list 10 deny host 192.168.100.10
(첫번째 정책. 100.10에서 오는 건 deny해라)
Router(config)#access-list 10 permit 192.168.100.0 0.0.0.31
Router(config)#access-list 10 permit any
(any를 선언하지 않으면 sh로 정책을 봐도 보이지 않게된다)
- 이 정책만으로는 아무런 의미가 없기때문에 적용해야한다 -
ACL 10번 적용
Router(config)#int gi0/0
Router(config-if)#ip access-group 10 ?
in inbound packets
out outbound packets
(대부분은 out방향으로 주면되고 원격을 쓰는 경우는 in으로 주기도 한다)
Router(config-if)#ip access-group 10 out
sh ip access-list 로 확인
[정책 날리는 방법]
Router(config)#no access-list 10
Router(config)#int gi0/0
Router(config-if)#no ip access-group 10 out
[EXTENDED]
==조건==
A - > 웹서버로 웹접속은 가능하지만 ping은 불가능하도록
B - > ping은 가능하지만 ftp접속은 불가능하도록
그 외 다른 모든 프래픽은 허용
Router(config)#access-list 100 deny tcp 192.168.100.0 255.255.255.224 host 192.168.100.130 eq ftp
Router(config)#access-list 100 permit ip any any
Router(config)#int gi0/0
Router(config-if)#ip access-group 100 out
Router(config)#access-list 100 deny icmp host 192.168.100.10 host 192.168.100.180 echo
Router(config)#access-list 100 deny icmp host 192.168.100.10 host 192.168.100.180 echo-reply
Router(config)#access-list 100 permit tcp host 192.168.100.20 host 192.168.100.130 eq ftp
Router(config)#access-list 100 deny tcp 192.168.100.0 255.255.255.224 host 192.168.100.130 eq ftp
ip access-list extended testacl
deny tcp host 주소 host 주소 eq ftp
확장형 ping 사용방법
#ping
protocol [ip]
target ip address: 주소
reapeat coutn [5];
datagram size [100]:
timeout in seconds [2]
extended commands [n]: y
source address or interface:
'정보보안실무 > 네트워크' 카테고리의 다른 글
Net.16 GNS3 pfSense 구축, static, 방화벽 설정 (0) | 2023.04.16 |
---|---|
Net.15 GNS3 소소한 팁들 (0) | 2023.04.16 |
Net.13 GNS3 Dynamic 설정하기 (0) | 2023.04.16 |
Net.12 GNS3 NAT, PAT (static 설정) (0) | 2023.04.16 |
Net.11 GNS3 FHRP(HSRP, VRRP, GLBP) 구축 및 설정 (0) | 2023.04.16 |