2. 程式人生 > >自反ACL的配置

自反ACL的配置

阿新 發佈:2018-06-03
ACL 自反ACL

現在我們個需求:允許內網主機訪問外部網絡,而外部網絡不能訪問我們的內網,如果我們使用router(config)#access-list {access-list-number} deny ip any any 並在指定接口調用,那麽,外部網絡是不能夠訪問內部網絡的,但內部網絡的數據出去之後也回不來了,顯然,我們並不想要這種結果。
我們知道TCP在建立連接之前,有一個三次握手過程,在TCP的包頭裏面有一個標誌位,我們的擴展訪問控制列表可以對這個標誌位進行控制。我們分析下,內部主機向外發起連接的時候,SYN位為1,而外部的主機回應包裏面為 SYN=1 ACK=1,而一個外部主機要想內部發起連接,他的第一個包只是SYN=1,而ACK=0,所以,我們可以使用Established ACL來達到我們想要的結果,命令如
R2(config)#ip access-list extended tcp
R2(config-ext-nacl)#permit tcp any any established
並在指定接口調用,然而Established ACL有一個致命的缺陷,它必須指定某一應用,如TCP,但我們可能會用到UDP、ICMP、PING等,為了解決這一問題,我們可以用自反ACL。接下來我們用實驗來一一說明。
拓撲圖:
技術分享圖片
#**#要求:R1能夠Telnet到R3上,但R3不能夠Telnet到R1上。

一、配置路由,使網絡能夠互通
R1的配置
R1(config)#int lo 0
R1(config-if)#ip address 10.1.1.1 255.255.255.0

R1(config-if)#int e0/1
R1(config-if)#ip address 12.1.1.1 255.255.255.0
R1(config-if)#no shutdown
R1(config)#router ospf 100
R1(config-router)#router-id 10.1.1.1
R1(config-router)#network 10.1.1.1 0.0.0.0 a 0
R1(config-router)#network 12.1.1.1 0.0.0.0 a 0

R2的配置
R2(config)#int lo 0
R2(config-if)#ip address 10.2.2.2 255.255.255.0

R2(config-if)#int e0/0
R2(config-if)#ip address 12.1.1.2 255.255.255.0
R2(config-if)#no shutdown
R2(config-if)#int e0/1
R2(config-if)#ip address 23.1.1.2 255.255.255.0
R2(config-if)#no shutdown
R2(config-if)#exi
R2(config)#router ospf 100
R2(config-router)#router-id 10.2.2.2
R2(config-router)#network 10.2.2.2 0.0.0.0 a 0
R2(config-router)#network 12.1.1.2 0.0.0.0 a 0
R2(config-router)#network 23.1.1.2 0.0.0.0 a 0

R3的配置
R3(config)#int lo 0
R3(config-if)#ip address 10.3.3.3 255.255.255.0
R3(config-if)#int e0/0
R3(config-if)#ip address 23.1.1.3 255.255.255.0
R3(config-if)#no shutdown
R3(config-if)#exi
R3(config)#router ospf 100
R3(config-router)#router-id 10.3.3.3
R3(config-router)#network 10.3.3.3 0.0.0.0 a 0
R3(config-router)#network 23.1.1.3 0.0.0.0 a 0

測試
R1#ping 10.3.3.3
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.3.3.3, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/6 ms

R3#ping 10.1.1.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.1.1.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/5 ms

二、配置Telnet
R1上配置Telnet
R1(config)#username xiaoming privilege 15 password xiaoming
R1(config)#line vty 0 4
R1(config-line)#login local
R1(config-line)#end

R3上配置Telnet
R3(config)#username xiaozhang privilege 15 password xiaozhang
R3(config)#line vty 0 4
R3(config-line)#login local
R3(config-line)#end

測試
R1#telnet 10.3.3.3
Trying 10.3.3.3 ... Open
User Access Verification
Username: xiaozhang
Password:
R3#
R1能夠Telnet到R3上
R1#ping 10.3.3.3
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.3.3.3, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 2/3/6 ms
R1能ping通R3

R3#telnet 10.1.1.1
Trying 10.1.1.1 ... Open
User Access Verification
Username: xiaoming
Password:
R1#
R3能夠Telnet到R1
R3#ping 10.1.1.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.1.1.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/2 ms
R3能ping通R1
由於並未做任何控制,R1與R3是可以相互Telnet的。

三、配置Established acl
R2(config)#ip access-list extended tcp //ACL的命名寫法
R2(config-ext-nacl)#permit tcp any any established
R2(config-ext-nacl)#permit ospf any any //保持ospf路由正常運行
R2(config)#int e0/1 //在in方向調用
R2(config-if)#ip access-group tcp in

測試
R1#telnet 10.3.3.3
Trying 10.3.3.3 ... Open
User Access Verification
Username: xiaozhang
Password:
R3#
R1能夠Telnet到R3

R1#ping 10.3.3.3
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.3.3.3, timeout is 2 seconds:
.....
Success rate is 0 percent (0/5)
R1不能ping通R3
這個時候,我們發現R1不能ping通R3了,原為什麽呢?
我們在訪問控制列表中沒有允許ICMP協議,所以返回的數據包在R2上面被拒絕掉了,但是telnet成功了,因為我們在進來的訪問控制列表裏允許了TCP。

R3#telnet 10.1.1.1
Trying 10.1.1.1 ...
% Destination unreachable; gateway or host down
R3#
R3不能夠Telnet到R1

R3#ping 10.1.1.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.1.1.1, timeout is 2 seconds:
.....
Success rate is 0 percent (0/5)
R3不能ping通R1
我們看R3是不能訪問R1的任何東西了,為什麽呢?ping不通的原因是我們在R2上阻止了ICMP,而telnet為什麽不行呢,雖然我們允許了TCP包,但是因為是R3向R1發起初始化連接,TCP裏面的標誌位SYN=1,ACK=0,而我們的訪問控制列表的關鍵詞established定義了只有ACK=1的包才能被允許,所以,這個初始連接包就被拒絕了,那麽我們這種做法就滿足了試驗要求。
但如果我們不僅想讓R1能Telnet到R3,還能夠ping通R3,可以用自反ACL
四、配置自反ACL
先在R2上刪除Established acl
然後再配置自反acl

R2(config)#ip access-list extended k1
R2(config-ext-nacl)#permit ip any any reflect zifanlist
R2(config-ext-nacl)#permit ospf any any
R2(config-ext-nacl)#exit
R2(config)#ip access-list extended k2
R2(config-ext-nacl)#evaluate zifanlist
R2(config-ext-nacl)#permit ospf any any
R2(config-ext-nacl)#exit
R2(config)#int e0/1
R2(config-if)#ip access-group k1 out
R2(config-if)#ip access-group k2 in
查看路由
R1#sho ip route
Gateway of last resort is not set
10.0.0.0/8 is variably subnetted, 4 subnets, 2 masks
C 10.1.1.0/24 is directly connected, Loopback0
L 10.1.1.1/32 is directly connected, Loopback0
O 10.2.2.2/32 [110/11] via 12.1.1.2, 01:29:18, Ethernet0/1
O 10.3.3.3/32 [110/21] via 12.1.1.2, 00:58:43, Ethernet0/1
12.0.0.0/8 is variably subnetted, 2 subnets, 2 masks
C 12.1.1.0/24 is directly connected, Ethernet0/1
L 12.1.1.1/32 is directly connected, Ethernet0/1
23.0.0.0/24 is subnetted, 1 subnets
O 23.1.1.0 [110/20] via 12.1.1.2, 00:58:43, Ethernet0/1
R3#sho ip rou
R3#sho ip route
Gateway of last resort is not set
10.0.0.0/8 is variably subnetted, 4 subnets, 2 masks
O 10.1.1.1/32 [110/21] via 23.1.1.2, 00:58:48, Ethernet0/0
O 10.2.2.2/32 [110/11] via 23.1.1.2, 00:58:48, Ethernet0/0
C 10.3.3.0/24 is directly connected, Loopback0
L 10.3.3.3/32 is directly connected, Loopback0
12.0.0.0/24 is subnetted, 1 subnets
O 12.1.1.0 [110/20] via 23.1.1.2, 00:58:48, Ethernet0/0
23.0.0.0/8 is variably subnetted, 2 subnets, 2 masks
C 23.1.1.0/24 is directly connected, Ethernet0/0
L 23.1.1.3/32 is directly connected, Ethernet0/0

測試
R1#telnet 10.3.3.3
Trying 10.3.3.3 ... Open
User Access Verification
Username: xiaozhang
Password:
R3#
R1能夠Telnet到R3

R1#ping 10.3.3.3
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.3.3.3, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/2 ms
R1能夠ping通R3

R3#telnet 10.1.1.1
Trying 10.1.1.1 ...
% Destination unreachable; gateway or host down
R3不能夠Telnet到R1

R3#ping 10.1.1.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.1.1.1, timeout is 2 seconds:
U.U.U
Success rate is 0 percent (0/5)
R3也不能ping通R1

以上測驗可以看出,R1內網主機不僅能夠Telnet到R3內網主機,還能夠ping通R3內網主機,但R3卻不能夠訪問R1的任何數據。

寫的不好,以後會來補充。

自反ACL的配置

相關推薦

ACL配置

ACL 自反ACL 現在我們個需求:允許內網主機訪問外部網絡,而外部網絡不能訪問我們的內網,如果我們使用router(config)#access-list {access-list-number} deny ip any any 並在指定接口調用,那麽,外部網絡是不能夠訪問內部網絡的,但內部網絡

springCloud(8):Ribbon實現客戶端側負載均衡-定義Ribbon配置

spring cloud ribbon 自定義ribbon配置 一、簡介很多場景下,可能根據需要自定義的Ribbon的配置,例如修改Ribbon的負載均衡規則等。Spring cloud Camden允許使用Java代碼或屬性自定義Ribbon的配置。二、使用Java代碼自定義Ribbon配置在S

定義倉庫配置

layout nap pom.xml pan false pom color 倉庫配置 span 在項目的pom.xml文件中添加repository進行配置,其中id與name自定義,在project標簽中添加如下: <repositories> &

spring帶測試配置

dao style auto autowire nds 配置 app ons bsp spring自帶的測試註解 @ContextConfiguration(locations="classpath:applicationContext.xml")@RunWith(Spri

POJ 3764 The xor-longest Path ( 字典樹求異或最值 && 異或性質 && 好題好思想)

strong span -s node poj printf return blog pre 題意 : 給出一顆無向邊構成是樹,每一條邊都有一個邊權,叫你選出一條路,使得此路所有的邊的異或值最大。 分析 : 暴力是不可能暴力的,這輩子不可能暴力,那麽來冷靜分析一下如何去

Orcale增/Hibernate 配置

class seq reat clas line contain next col 觸發 -- 自增 create sequence SEQ_T_APP_USER start with 1 increment by 1; -- 觸發器 create trigger DE

擴展ACL配置

擴展ACl擴展ACL表號在100~199擴展ACL可以標識原地址和目的地址1.允許pc1訪問Web服務器的www服務,並禁止pc1訪問Web服務器的其他服務2.允許pc1訪問網絡192.168.3.0/243.將ACL應用於接口配置R1(config)#access-list 101 permit tcp h

標準ACL配置

ACL 標準ACL 標準ACL 的表號是1~99中的一個數字permit | deny ---允許/拒絕一.先保證全網互通二.創建ACLR1(config)#access-list 1 permit 192.168.10.10 0.0.0.0----------允許該ip通過R1(config)#ac

Unity3D定義資源配置文件

想要 說明 設計 子彈 數值 我們 ret 似的 復制 http://blog.csdn.net/candycat1992/article/details/52181814 寫在前面 我竟然最近兩天才知道Unity中ScriptableObject的存在…… 看了下Sc

SpringCloud系列五:Ribbon 負載均衡(Ribbon 基本使用、Ribbon 負載均衡、定義 Ribbon 配置、禁用 Eureka 實現 Ribbon 調用)

control context .mm 別名 void 用戶 size ali ram 1、概念:Ribbon 負載均衡 2、具體內容 現在所有的服務已經通過了 Eureka 進行了註冊,那麽使用 Eureka 註冊的目的是希望所有的服務都統一歸屬到 Eureka 之中進

靜態路由與擴展ACL配置

靜態路由 ACL 靜態路由與擴展ACL配置 環境描述:1. 實現整個網絡全網互聯互通2. 禁止網絡192.168.10.0/24中的主機ping通服務器14.0.0.14/24,但允許訪問web服務和其他任何流量在GNS3新建拓撲圖為R1的f0/0和f0/1端口配置IP地址為R1配置靜態路由R2

springSecurity定義認證配置

pojo property ood 目錄 spring註解 web tex poj uri 上一篇講了springSecurity的簡單入門的小demo,認證用戶是在xml中寫死的。今天來說一下自定義認證,讀取數據庫來實現認證。當然,也是非常簡單的,因為僅僅是讀取數據庫,權

Linux 系統開機啟的配置文件

b-s init 圖形 -s scrip 設置 con mar lba 程序開機啟動的配置文件(/etc/rc.local) # 系統級別ntsysv # 圖形界面設置自啟程序 chkconfig(/etc/init.d/sshd) 處理開機啟動的文件# 用戶級別#

openwrt-rpcd服務ACL配置錯誤風險分析

接下來 param 路由 消息 qos 如果 usb restart blog 前言 openwrt 是一個用於的 路由器 的開源系統。 其他類似的路由器系統相比它的更新速度非常的快,可以看看 github 的更新速度 https://github.com/openwrt/

SpringBoot中讀取定義properties配置文件

bsp clas manage trace etl sstream factory 地址 app 配置文件放在src/main/resources目錄下 java代碼: /** * 系統配置文件 */ public class GlobalProperties {

定義vim配置文件vimrc,用於c/c++編程

which pfile tst nco 檢測 str 字體 normal ada   vim作為Linux下廣受贊譽的代碼編輯器,其獨特的純命令行操作模式可以很大程度上方便編程工作,通過自定義vim配置文件可以實現對vim功能的個性化設置。   vim配置文件一般有兩份,屬

centos下設置啟動和配置環境變量的方法

touch alt 權限 環境變量配置 pat 語法 command linux 腳本 1. 設置自啟動 在CentOS系統下,主要有兩種方法設置自己安裝的程序開機啟動。1、把啟動程序的命令添加到/etc/rc.d/rc.local文件中,比如下面的是設置開機啟動httpd

定義xml配置檔案讀取更新

說明:webconfig的檔案中的值的更新會引起網站重啟,網站重啟記憶體揮手,session等資訊會丟失,所以下面這些場景我們需要自定義配置檔案。          1,網站執行中,我們需要更新配置檔案來關閉某些功能,不能造成使用者cookie等

關於springboot讀取定義的配置

我是自定義一個關於發郵件的自定義檔案,然後讀取它,在網上找了很多關於讀取檔案的,結果一直髮現值為null,用@Value讀取也為null,因為我不是在controller層讀取配置,而是在util工具包讀取,就十分麻煩, 記錄下來自己走過的坑: 第一步不用說,建立配置檔案; 第二步,建立

Orchard Core 定義許可權配置

在我們為Orchard Core配置了一個新的Module之後,我們要考慮的是誰可以訪問這個Module,那麼這裡就涉及到了一個許可權的配置。如下圖,添加了自定義的許可權:  Orchard Core原始碼:https://github.com/OrchardCMS/OrchardCore