1. Location:
  2. / Computer learning >> Datamaskin læring >> cyber security >> nettverk >> Lan-Local Area Networks >>

Bruke refleksive tilgangslister for å tillate trafikk ut, men ikke in

Dette er den enkleste konfigurasjonen. Du ønsker å tillate alt som du starter fra innsiden grensesnitt for å få lov til Internett. Men du ikke ønsker noen trafikk skal være tillatt i fra Internett. Diagrammet nedenfor hjelper deg å orientere deg selv.


Det første du må gjøre er å definere våre adgangslister:

MagicWand # conf t Angi konfigurasjon kommandoer, ett per linje. Avslutt med CNTL /Z

Opprett tilgangslisten for innsiden grensesnitt for trafikken flyter på utsiden.

MagicWand (config-ext-NaCl) # ip-tilgang -liste utvidet fra-innsiden-til-utenfor

Tillat all trafikk ut og Selge skape refleksiv tilgang listeoppføringen for trafikk retur:

MagicWand ( config-ext-NaCl) # tillatelse ip alle alle reflekterer gjør-refleks

Opprett tilgangslisten for utsiden grensesnitt for trafikk bestemt for innsiden:

MagicWand ( config) # ip access-list utvidet fra-utenfor-til-inne

Sjekk trafikk mot de refleksive tilgangslister som er opprettet av " reflektere " uttalelse:

MagicWand (config-ext-NaCl) # evaluere gjør-refleks

Forby all trafikk som ikke samsvarer med den refleksive tilgangslisten:
< p> MagicWand (config-ext-NaCl) # nekte ip alle alle MagicWand (config-ext-NaCl) # exit

Og nå, gjelder tilgangsliste til sine grensesnitt:

MagicWand (config) # grensesnitt ethernet0 MagicWand (config) # ip-adressen 192.168.2.1 255.255.255.0 MagicWand (config) # ip-tilgang-gruppen fra-utenfor-til-inne i MagicWand (config) # grensesnitt ethernet1 MagicWand (config) # ip-adressen 192.168.2.1 255.255.255.0 MagicWand (config) # ip-tilgang-gruppen fra-innsiden-til-ute i MagicWand (config) # exit MagicWand #

Du kan også endre noen av navnene for å gjøre det litt klarere:

MagicWand (config-ext-NaCl) # ip access-list utvidet fra-arbeidsstasjon til utenfor MagicWand (config-EXT NaCl) # tillatelse ip alle alle reflekterer opprette-refleks-lister

Den første linjen definerer en utvidet adgang liste med navnet ". fra-arbeidsstasjon til utenfor " Den andre linjen tillater noen IP trafikk fra en IP-adresse til en IP-adresse. Den ekstra switch " reflektere gjør-refleks " muliggjør inspeksjon av utgående pakker.

MagicWand (config) # ip access-list utvidet kommer-tilbake-til-du MagicWand (config-ext-NaCl) # evaluere opprette-refleks-lister MagicWand (config-ext-NaCl) # nekte ip alle alle

Nå har vi definert inngående tilgangsliste og knipset bryteren som slår på den omvendte veien for din IP-trafikk som gikk ut med " evaluere kommende-back-to-you . " Da vi nektet all trafikk som kommer inn fra andre steder.

Vis kommandoer før trafikkflyt
Nå la oss gå til konsollen på min " MagicWand " og sjekk ut de nye tilgangslister:

MagicWand # sh tilgangslister Reflexive IP access liste gjør-refleks Utvidet IP access liste fra-innsiden-til-utenfor tillate ip alle alle reflekterer gjør-refleks Extended IP access liste fra-utenfor-til-inne evaluere gjør-refleks nekte ip alle alle MagicWand #

Vis kommandoer etter trafikkflyt
Nå jeg sjekke ut en nettside på min Web server:

MagicWand # sh tilgangslister Reflexive IP access liste gjør-refleks Reflexive IP access liste gjør-refleks tillatelse tcp verts 192.168.1.42 eq www vert 192.168.2.2 eq 3767 (10 kamper) ( tid igjen 809 794) tillatelse tcp vert 192.168.1.42 eq www vert 192.168.2.2 eq 3766 (10 kamper) (tid igjen 809 794) tillatelse tcp vert 192.168.1.42 eq www vert 192.168.2.2 eq 3765 (10 kamper) (tid igjen 809794) Utvidet IP access liste fra-innsiden-til-utenfor tillate ip alle alle reflekterer gjør-refleks utvidet IP access liste fra-utenfor-til-inne evaluere gjør-refleks nekte ip alle alle MagicWand #

Nå du kan se at den refleksive tilgang listen er dynamisk opprettet en tilgangsliste for trafikk som kommer tilbake gjennom utsiden grensesnittet. La oss se veldig nøye på denne linjen:

tillatelse tcp vert 192.168.1.42 eq www vert 192.168.2.2 eq 3669 (tid igjen 812079)

Denne linjen vil tillate min Web server (192.168.1.42) avkastning trafikk fra port 80 til min arbeidsstasjon (192.168.2.2) på port 3669. Det er akkurat det jeg vil. Det har blitt dynamisk opprettet og utløper på et eller annet tidspunkt i fremtiden (etter tid igjen intervallet utløper).

Hvis vi sjekke " vis tilgangslister " kommandoen litt senere:

MagicWand # sh access-liste Reflexive IP access liste gjør-refleks Utvidet IP access liste fra-innsiden-til-utenfor tillate ip alle alle reflekterer gjør-refleks tillatelse icmp noen noen Utvidet IP access liste fra-utenfor-til-inne evaluere gjør-refleks nekte ip alle alle (78 kamper) MagicWand #

du kan se at de refleksive listene har blitt fjernet fordi de fikk tidsavbrudd. Nå er du helt sikret mot trafikk fra utsiden. Legg merke til at vi ikke har noen DNS-trafikk her fordi jeg brukte http://192.168.1.42 i min nettleser. Hvis du bruker et DNS-navn, vil du også se en DNS-server som følgende:

Reflexive IP access liste gjør-refleks tillatelse tcp vert 192.168.1.42 eq www vert 192.168.2.2 eq 3767 (10 kamper) (tid igjen 809 794) tillatelse tcp vert 192.168.1.42 eq www vert 192.168.2.2 eq 3766 (10 kamper) (tid igjen 809 794) tillatelse tcp vert 192.168.1.42 eq www verts 192.168.2.2 eq 3765 (10 kamper) (tid venstre 809794) tillate UDP host 192.168.1.181 eq domenevert 192.168.2.2 eq 1650 (2 kamper) (tid igjen 809794) Utvidet IP access liste fra-innsiden-til-utenfor tillate ip alle alle reflekterer gjør-refleks tillatelse ICMP alle alle Extended IP access liste fra-utenfor-til-inne evaluere gjør-refleks nekte ip alle alle

Neste uke vil vi ta opp noen av problemene som kan beskjære opp med dette tilgangslisten, og hvordan du konfigurere rundt dem.

Har du ikke Greg sin første artikkel om refleksiv tilgang listen? Klikk for å lese den.

For mer om tilgangslister, sjekk ut våre Router ekspert artikler.

Har du spørsmål til CCIE Greg Ferro, eller andre emner du ønsker ham til å dekke? E-mail oss og gi oss beskjed.