13.ACL-Extended

▣ Extended ACL 

100~199 , 출발지IP/목적지IP/프로토콜/포트번호 까지 일치해야 막는다.

 

Numbered

access-list [100-199] [permit/deny] [portocol][출발지IP][ Wildcard Mask] [목적지IP] [Wildcard Mask] eq [port번호]

*eq = equal 의 의미

Named 

ip access-list extended [name]
[permit/deny] [protocol] [출발지IP][ Wildcard Mask] [목적지IP] [Wildcard Mask] eq [port번호]

적용

interface e0/0
ip accesss-group [100-199] [in/out]

router에서 조건 확인 방법

show access-list show ip access-list

show ip interface e0/0

 

※ 참고

▶ protocol : IP ,ICMP,TCP,UDP ,,,,, ▶ port번호 : tcp,udp를 사용한 경우 적어준다.

• tcp : http(80) https(443) telnet(23) ssh(22) ftp(21,20) dns(53) SMTP(25) POP3(110), .......
• udp : TFTP(69) DNS(53) SNMP(161,162) ,,,,,,,,

<예>

조건  -  웹서버 접근 가능

         -  ICMP 접근 거부

access-list 100 permit ip host 1.1.1.1 host 2.2.2.2

access-list 100 permit tcp 192.168.10.0 0.0.0.255 host 3.3.3.3 eq 80

access-list 100 permit tcp host 2.2.2.2 192.168.30.0 0.0.0.255 eq 23

access-list 100 permit icmp host 3.3.3.3 host 4.4.4.4

access-list 100 permit udp host 1.1.1.1 host 2.2.2.2 eq 53

access-list 100 deny ip any any

interface s0/1 ip

access-group 100 out

 

Router(config)#$access-list 100 permit tcp host 192.168.10.1 host 192.168.20.1 eq 80

Router(config)#access-list 100 deny icmp host 192.168.10.1 host 192.168.20.1

R1에서 e0/0 인터페이스 방향으로 out 방향에 조건을 겁니다.

R1에서 설정 Extended로 설정해봅니다.

💡 [access-list 명령어 3개만 사용가능함]

1.HTTP-A에는 192.168.20.1.만 웹서버에 접근 가능

2.HTTP-B와 HTTP-C에는 192.168.20.0/24 만 웹서버 접근가능

3.나머지 전부 거부

 

두가지 방법이 있습니다.

첫번째로, 192.168.20.0 대역대의 192.168.20.1 만 제외한 나머지 주소들을 192.168.10.1에는 접근을 제한하는 방법으로 적는다면

access-list 100 permit tcp host 192.168.20.1  host 192.168.10.1 eq 80
access-list 100 deny tcp 192.168.20.0 0.0.0.255  host 192.168.10.1 eq 80
access-list 100 permit ip 192.168.20.0 0.0.0.255 192.168.10.0 0.0.0.255

만약에 192.168.20.1을 제외한 모든 ip가 192.168.10.1의 웹서버에 접근을 막는다면 이런 방법으로도 적을 수 있습니다.

access-list 100 permit tcp host 192.168.20.1  host 192.168.10.1 eq 80
access-list 100 deny tcp any  host 192.168.10.1 eq 80
access-list 100 permit ip 192.168.20.0 0.0.0.255 192.168.10.0 0.0.0.255

이번엔 Extended named 로 설정해보겠습니다.

ip access-list extended cisco1
permit tcp host 192.168.20.1 host 192.168.10.1 eq 80
deny tcp 192.168.20.0 0.0.0.255 host 192.168.10.1 eq 80
permit ip 192.168.20.0 0.0.0.255 192.168.10.0 0.0.0.255

int e0/0
ip access-group cisco1 out

 

 

acl 수정

1. ip 제거 Router#clear ip nat translation * => 먼저 제거
2. 합친거 제거 no ip nat inside source list 10 pool A overload
3. 나머지 제거 no ip nat pool A 1.1.12.10 1.1.12.10 netmask 255.255.255.0 no access-list 10 permit 192.168.10.0 0.0.0.255