▣ Extended ACL
100~199 , 출발지IP/목적지IP/프로토콜/포트번호 까지 일치해야 막는다.
Numbered
access-list [100-199] [permit/deny] [portocol][출발지IP][ Wildcard Mask] [목적지IP] [Wildcard Mask] eq [port번호]
*eq = equal 의 의미
Named
ip access-list extended [name]
[permit/deny] [protocol] [출발지IP][ Wildcard Mask] [목적지IP] [Wildcard Mask] eq [port번호]
적용
interface e0/0
ip accesss-group [100-199] [in/out]
router에서 조건 확인 방법
show access-list show ip access-list
show ip interface e0/0
※ 참고
▶ protocol : IP ,ICMP,TCP,UDP ,,,,, ▶ port번호 : tcp,udp를 사용한 경우 적어준다.
- tcp : http(80) https(443) telnet(23) ssh(22) ftp(21,20) dns(53) SMTP(25) POP3(110), .......
- udp : TFTP(69) DNS(53) SNMP(161,162) ,,,,,,,,
<예>
조건 - 웹서버 접근 가능
- ICMP 접근 거부
access-list 100 permit ip host 1.1.1.1 host 2.2.2.2
access-list 100 permit tcp 192.168.10.0 0.0.0.255 host 3.3.3.3 eq 80
access-list 100 permit tcp host 2.2.2.2 192.168.30.0 0.0.0.255 eq 23
access-list 100 permit icmp host 3.3.3.3 host 4.4.4.4
access-list 100 permit udp host 1.1.1.1 host 2.2.2.2 eq 53
access-list 100 deny ip any any
interface s0/1 ip
access-group 100 out
Router(config)#$access-list 100 permit tcp host 192.168.10.1 host 192.168.20.1 eq 80
Router(config)#access-list 100 deny icmp host 192.168.10.1 host 192.168.20.1
R1에서 설정 Extended로 설정해봅니다.
💡 [access-list 명령어 3개만 사용가능함]
1.HTTP-A에는 192.168.20.1.만 웹서버에 접근 가능
2.HTTP-B와 HTTP-C에는 192.168.20.0/24 만 웹서버 접근가능
3.나머지 전부 거부
두가지 방법이 있습니다.
첫번째로, 192.168.20.0 대역대의 192.168.20.1 만 제외한 나머지 주소들을 192.168.10.1에는 접근을 제한하는 방법으로 적는다면
access-list 100 permit tcp host 192.168.20.1 host 192.168.10.1 eq 80
access-list 100 deny tcp 192.168.20.0 0.0.0.255 host 192.168.10.1 eq 80
access-list 100 permit ip 192.168.20.0 0.0.0.255 192.168.10.0 0.0.0.255
만약에 192.168.20.1을 제외한 모든 ip가 192.168.10.1의 웹서버에 접근을 막는다면 이런 방법으로도 적을 수 있습니다.
access-list 100 permit tcp host 192.168.20.1 host 192.168.10.1 eq 80
access-list 100 deny tcp any host 192.168.10.1 eq 80
access-list 100 permit ip 192.168.20.0 0.0.0.255 192.168.10.0 0.0.0.255
이번엔 Extended named 로 설정해보겠습니다.
ip access-list extended cisco1
permit tcp host 192.168.20.1 host 192.168.10.1 eq 80
deny tcp 192.168.20.0 0.0.0.255 host 192.168.10.1 eq 80
permit ip 192.168.20.0 0.0.0.255 192.168.10.0 0.0.0.255
int e0/0
ip access-group cisco1 out
acl 수정
- ip 제거 Router#clear ip nat translation * => 먼저 제거
- 합친거 제거 no ip nat inside source list 10 pool A overload
- 나머지 제거 no ip nat pool A 1.1.12.10 1.1.12.10 netmask 255.255.255.0 no access-list 10 permit 192.168.10.0 0.0.0.255
'Network > Network기초' 카테고리의 다른 글
14. NAT(Network Address Translation) (0) | 2022.12.26 |
---|---|
12.ACL(Access Control list) - standard (0) | 2022.12.23 |
11.DHCP 통신 과정 (0) | 2022.12.22 |
댓글