Routery - access listy

ACCESS-LISTY (ACLs)
Access-listy slouží k omezení-či zákazu přístupu uživatele na určité služby sítě.

Čísla access listů nám říkají o jaký typ access listu se jedná.
1-99 (IP) Standart Access list
100-199 2000-2699 Extended IP Access list
600-699 AppleTalk
800-899 IPX
900-999 Extended IPX
1000-1099 IPX Service Advertisinfg protocol

Zápis 0.0.0.0 255.255.255.255 = ANY

acces-list 100 deny/permit TCP/IP
172.16.1.53 0.0.0.0 = kdo
1.1.1.1 255 255.255.255 eq 80 = kam
ANY = jakykoli
eq = equal

Standart acces-list:
Umisťují se na interface routeru připojeného k internetu, jinak by zabránil přístupu klienta do podnikové LAN

Extendet acces-list:
Měl se dát na interface routeru mezi klientem a zbytkem LAN, lze totiž nakonfigurovat pouze na povolený port a službu...

Syntaxe:
access-list (číslo acl 100 - 199) (akce - permit/deny) (protokol) (adresa+wilcat) (cílová adresa+wildcat) (eq, gr,...) (port)

Příklad extended access-list:

Zakázat http pro PC 172.16.4.2:
Router(config)#
Router(config)#access-list 101 DENY TCP 172.16.4.2 0.0.0.0 ANY eq 80
Router(config)#int fastethernet 0/0
Router(config-if)#ip access-group 101 IN -zapíná access-list na rozhraní

Zakázat telnet pro PC 172.16.4.2:
Router(config)#
Router(config)#access-list 101 DENY TCP 172.16.4.2 0.0.0.0 172.16.8.2 0.0.0.0 eq 23
Router(config)#access-list 101 DENY TCP 172.16.4.2 0.0.0.0 172.16.16.2 0.0.0.0 eq 23
Router(config)#int serial 0/0
Router(config-if)#ip access-group 101 IN

Pozn:
Třeba u telnetu je třeba zakázat přístup na VŠECHNY porty routeru, jinak by se uživatel mohl přihlásit na jiné rozhraní nezahrnuté v access-listu.

Povolit veškeré služby:
Router(config)#access-list 101 PERMIT IP ANY ANY - povoluje veškerou komunikaci

Pokud bych zadal access-group xxx nedefinovaným číslem (prázdný access-list), zakáže veškerou komunikaci pro toto rozhraní.
Například v tomto případě třeba #ip access-group 102 IN

Příklady access-listů:
#access-list 100 PERMIT TCP 10.1.2.5 0.0.0.0 ANY eq 80
#access-list 100 DENY TCP 10.1.2.5 0.0.0.0 ANY EQ 21
#access-list 100 PERMIT IP ANY ANY

Povolili jsme přístup na web PC 10.1.2.5, zakázali mu FTP a tím jsme odřízli všechny ostatní PC v síti. Proto je tam třetí řádek, který povoluje všechen ostatní přístup, z čehož vyplývá, že první řádek je vlastně zbytečný...

Řádek který není při konfiguraci access listů vidět je access-list 100 DENY ANY ANY, který je defaultní jakmile konfigurujeme access-list. Proto povolujeme ostatní komunikaci manuálně.

Příklady praktického užití ACLs:
Access-list 1 permit 0.0.0.0 255.255.255.255
Je totéž jako:
Access-list 1 permit ANY

Access-list 1 permit 192.168.1.5 0.0.0.0
Je totéž jako:
Access-list 1 permit host 192.168.1.5

Pozn:
Pokud chceme povolit HTTP, nesmíme zapomenout povolit rovněž DNS!!! Jinak bude internet sice funkční, ale bez překladu adres, což jak si dokážeme představit - je dost na hovno...

Access list na povolení internetu:
#acc 101 permit tcp any any eq 80 (htttp)
#acc 101 permit tcp any any eq 443 (https)
#acc 101 permit tcp any any eq 53 (dns)
#acc 101 permit udp any any eq 53 (dns)

Pozn:
Neměli bychom rovněž zapomenout, že FTP používá dva porty pro navázání spojení (21) a přenos souborů (20).

Takže povolení FTP:
#acc 101 permit tcp any any eq 20
#acc 101 permit tcp any any eq 21

"Jakési další zabezpečení je použití příkazu established.
acc 101 permit tcp eq 80 any any established" *teď si nejsem jist, ještě se na to mrknu....