ACCESS CONTROL LIST - (in)

Pytania dt. certyfikacji CCNA i CCDA

Moderatorzy: mikrobi, aron, garfield, gangrena, Seba

Wiadomość
Autor
Adam1002
fresh
fresh
Posty: 7
Rejestracja: 16 maja 2017, 19:57

ACCESS CONTROL LIST - (in)

#1

#1 Post autor: Adam1002 » 16 maja 2017, 20:15

Cześć, witam was bardzo serdecznie.
Mam problem, z którym nie mogę sobie poradzić :( a są nim access listy w wersji in.
Chciałbym aby pakiety nie obciążały ruchu aby były one "wyłączane przy wejściu na pierwsza bramę",
chodzi o to aby pakiet idący z lewej strony zatrzymał się na interface 0/0, przy pierwszym routerze.
Czy mógłby mnie ktoś nakierować w jaki sposób to zrobić?
Plik
http://uploadfile.pl/pokaz/1097865---wbte.html
Topologia:
https://zapodaj.net/fa5c86d2b3365.jpg.html

Konfiguracja 1:
interface FastEthernet0/0
no ip address
duplex auto
speed auto
!
interface FastEthernet0/0.10
description Ksiegowosc
encapsulation dot1Q 10
ip address 172.16.0.1 255.255.255.128
ip access-group 1 out
!
interface FastEthernet0/0.20
description Sekretariat
encapsulation dot1Q 20
ip address 172.16.0.129 255.255.255.128
ip access-group 2 out
!
interface FastEthernet0/0.30
description Kadry
encapsulation dot1Q 30
ip address 172.16.1.1 255.255.255.192
ip access-group 3 out
!
interface FastEthernet0/0.40
description Place
encapsulation dot1Q 40
ip address 172.16.1.65 255.255.255.192
ip access-group 3 out
!
interface FastEthernet0/0.50
description Dyrekcja
encapsulation dot1Q 50
ip address 172.16.1.129 255.255.255.224
ip access-group 2 out
!
interface FastEthernet1/0
ip address 172.16.7.133 255.255.255.252
ip access-group 100 out
duplex auto
speed auto
!
interface FastEthernet2/0
ip address 172.16.7.129 255.255.255.252
ip access-group 100 out
duplex auto
speed auto
!
interface FastEthernet3/0
no ip address
duplex auto
speed auto
shutdown
!
router ospf 1
log-adjacency-changes
network 172.16.7.132 0.0.0.3 area 0
network 172.16.7.128 0.0.0.3 area 0
network 172.16.0.0 0.0.0.127 area 0
network 172.16.0.128 0.0.0.127 area 0
network 172.16.1.0 0.0.0.63 area 0
network 172.16.1.64 0.0.0.63 area 0
network 172.16.1.128 0.0.0.31 area 0
!
ip classless
!
ip flow-export version 9
!
!
access-list 1 deny host 172.16.0.129
access-list 1 deny 172.16.0.128 0.0.0.127
access-list 1 deny 172.16.1.0 0.0.0.63
access-list 1 deny 172.16.1.64 0.0.0.63
access-list 1 deny 172.16.1.128 0.0.0.31
access-list 1 permit any
access-list 2 deny 172.16.0.0 0.0.0.127
access-list 2 deny 172.16.1.0 0.0.0.63
access-list 2 deny 172.16.1.64 0.0.0.63
access-list 2 permit any
access-list 3 deny 172.16.0.128 0.0.0.127
access-list 3 deny 172.16.0.0 0.0.0.127
access-list 3 deny 172.16.1.128 0.0.0.3
access-list 3 permit any
access-list 100 deny ip 172.16.0.0 0.0.0.127 172.16.4.32 0.0.0.31
access-list 100 deny ip 172.16.0.0 0.0.0.127 172.16.4.64 0.0.0.31
access-list 100 deny ip 172.16.0.0 0.0.0.127 172.16.4.96 0.0.0.31
access-list 100 deny ip 172.16.0.0 0.0.0.127 172.16.4.128 0.0.0.31
access-list 100 deny ip 172.16.0.128 0.0.0.127 172.16.4.0 0.0.0.31
access-list 100 deny ip 172.16.0.128 0.0.0.127 172.16.4.64 0.0.0.31
access-list 100 deny ip 172.16.0.128 0.0.0.127 172.16.4.96 0.0.0.31
access-list 100 deny ip 172.16.1.0 0.0.0.63 172.16.4.0 0.0.0.31
access-list 100 deny ip 172.16.1.0 0.0.0.63 172.16.4.32 0.0.0.31
access-list 100 deny ip 172.16.1.0 0.0.0.63 172.16.4.128 0.0.0.31
access-list 100 deny ip 172.16.1.64 0.0.0.63 172.16.4.0 0.0.0.31
access-list 100 deny ip 172.16.1.64 0.0.0.63 172.16.4.32 0.0.0.31
access-list 100 deny ip 172.16.1.64 0.0.0.63 172.16.4.128 0.0.0.31
access-list 100 deny ip 172.16.1.128 0.0.0.31 172.16.4.0 0.0.0.31
access-list 100 deny ip 172.16.1.128 0.0.0.31 172.16.4.64 0.0.0.31
access-list 100 deny ip 172.16.1.128 0.0.0.31 172.16.4.96 0.0.0.31
access-list 100 permit ip any any



Konfiguracja 2:
interface FastEthernet0/0
no ip address
duplex auto
speed auto
!
interface FastEthernet0/0.10
description Ksiegowosc
encapsulation dot1Q 10
ip address 172.16.4.1 255.255.255.224
ip access-group 1 out
!
interface FastEthernet0/0.20
description Sekretariat
encapsulation dot1Q 20
ip address 172.16.4.33 255.255.255.224
ip access-group 2 out
!
interface FastEthernet0/0.30
description Kadry
encapsulation dot1Q 30
ip address 172.16.4.65 255.255.255.224
ip access-group 3 out
!
interface FastEthernet0/0.40
description Place
encapsulation dot1Q 40
ip address 172.16.4.97 255.255.255.224
ip access-group 3 out
!
interface FastEthernet0/0.50
description Dyrekcja
encapsulation dot1Q 50
ip address 172.16.4.129 255.255.255.224
ip access-group 2 out
!
interface FastEthernet1/0
ip address 172.16.7.134 255.255.255.252
ip access-group 100 out
duplex auto
speed auto
!
interface FastEthernet2/0
ip address 172.16.7.138 255.255.255.252
ip access-group 100 out
duplex auto
speed auto
!
interface FastEthernet3/0
no ip address
duplex auto
speed auto
shutdown
!
router ospf 1
log-adjacency-changes
network 172.16.7.136 0.0.0.3 area 0
network 172.16.7.132 0.0.0.3 area 0
network 172.16.4.0 0.0.0.31 area 0
network 172.16.4.32 0.0.0.31 area 0
network 172.16.4.64 0.0.0.31 area 0
network 172.16.4.96 0.0.0.31 area 0
network 172.16.4.128 0.0.0.31 area 0
!
ip classless
!
ip flow-export version 9
!
!
access-list 2 deny 172.16.4.0 0.0.0.31
access-list 2 deny 172.16.4.64 0.0.0.31
access-list 2 deny 172.16.4.96 0.0.0.31
access-list 2 permit any
access-list 3 deny 172.16.4.0 0.0.0.31
access-list 3 deny 172.16.4.32 0.0.0.31
access-list 3 deny 172.16.4.128 0.0.0.31
access-list 3 permit any
access-list 1 deny 172.16.4.128 0.0.0.31
access-list 1 deny 172.16.4.96 0.0.0.31
access-list 1 deny 172.16.4.64 0.0.0.31
access-list 1 deny 172.16.4.32 0.0.0.31
access-list 1 permit any
access-list 100 deny ip 172.16.4.0 0.0.0.31 172.16.0.128 0.0.0.127
access-list 100 deny ip 172.16.4.0 0.0.0.31 172.16.1.0 0.0.0.63
access-list 100 deny ip 172.16.4.0 0.0.0.31 172.16.1.64 0.0.0.63
access-list 100 deny ip 172.16.4.0 0.0.0.31 172.16.1.128 0.0.0.31
access-list 100 deny ip 172.16.4.32 0.0.0.31 172.16.0.0 0.0.0.127
access-list 100 deny ip 172.16.4.32 0.0.0.31 172.16.1.0 0.0.0.63
access-list 100 deny ip 172.16.4.32 0.0.0.31 172.16.1.64 0.0.0.63
access-list 100 deny ip 172.16.4.64 0.0.0.31 172.16.0.0 0.0.0.127
access-list 100 deny ip 172.16.4.64 0.0.0.31 172.16.0.128 0.0.0.127
access-list 100 deny ip 172.16.4.64 0.0.0.31 172.16.1.128 0.0.0.31
access-list 100 deny ip 172.16.4.96 0.0.0.31 172.16.0.0 0.0.0.127
access-list 100 deny ip 172.16.4.96 0.0.0.31 172.16.0.128 0.0.0.127
access-list 100 deny ip 172.16.4.96 0.0.0.31 172.16.1.128 0.0.0.31
access-list 100 deny ip 172.16.4.128 0.0.0.31 172.16.0.0 0.0.0.127
access-list 100 deny ip 172.16.4.128 0.0.0.31 172.16.1.64 0.0.0.63
access-list 100 deny ip 172.16.4.128 0.0.0.31 172.16.1.0 0.0.0.63
access-list 100 permit ip any any



Dziękuje za każdą pomoc.

Awatar użytkownika
konradrz
CCIE
CCIE
Posty: 331
Rejestracja: 23 sty 2008, 14:21
Lokalizacja: Singapore, SG
Kontakt:

Re: ACCESS CONTROL LIST - (in)

#2

#2 Post autor: konradrz » 16 maja 2017, 22:43

Adam1002 pisze:Mam problem, z którym nie mogę sobie poradzić :( a są nim access listy w wersji in.
(....)

Kod: Zaznacz cały

 ip access-group 1 out
Bez patrzenia, wnikania itd - może zmień te 'out' na 'in'?

Adam1002
fresh
fresh
Posty: 7
Rejestracja: 16 maja 2017, 19:57

Re: ACCESS CONTROL LIST - (in)

#3

#3 Post autor: Adam1002 » 17 maja 2017, 06:41

Cześć konradrz, no własnie zmieniałem oraz dodałem na interface FastEthernet0/0 ip access-group 100 in i to właśnie nic nie daje, pakiety przechodzą jakby tych ograniczeń nie było :( nie wiem czy błąd może wynikać z topologi lub z czegoś innego? Czy interface FastEthernet0/0 musi mieć adresacje w tym przypadku oraz czy połączenie krosowe pomiędzy routerem a switchem jest akceptowalne?
Zmieniona konfiguracja:
http://uploadfile.pl/pokaz/1098223---krtt.html

Kod: Zaznacz cały

interface FastEthernet0/0
 no ip address
 ip access-group 100 in
 duplex auto
 speed auto
!
interface FastEthernet0/0.10
 description Ksiegowosc
 encapsulation dot1Q 10
 ip address 172.16.0.1 255.255.255.128
 ip access-group 1 out
!
interface FastEthernet0/0.20
 description Sekretariat
 encapsulation dot1Q 20
 ip address 172.16.0.129 255.255.255.128
 ip access-group 2 out
!
interface FastEthernet0/0.30
 description Kadry
 encapsulation dot1Q 30
 ip address 172.16.1.1 255.255.255.192
 ip access-group 3 out
!
interface FastEthernet0/0.40
 description Place
 encapsulation dot1Q 40
 ip address 172.16.1.65 255.255.255.192
 ip access-group 3 out
!
interface FastEthernet0/0.50
 description Dyrekcja
 encapsulation dot1Q 50
 ip address 172.16.1.129 255.255.255.224
 ip access-group 2 out
!
interface FastEthernet1/0
 ip address 172.16.7.133 255.255.255.252
 duplex auto
 speed auto
!
interface FastEthernet2/0
 ip address 172.16.7.129 255.255.255.252
 duplex auto
 speed auto
!
interface FastEthernet3/0
 no ip address
 duplex auto
 speed auto
 shutdown
!
router ospf 1
 log-adjacency-changes
 network 172.16.7.132 0.0.0.3 area 0
 network 172.16.7.128 0.0.0.3 area 0
 network 172.16.0.0 0.0.0.127 area 0
 network 172.16.0.128 0.0.0.127 area 0
 network 172.16.1.0 0.0.0.63 area 0
 network 172.16.1.64 0.0.0.63 area 0
 network 172.16.1.128 0.0.0.31 area 0
!
ip classless
!
ip flow-export version 9
!
!
access-list 1 deny host 172.16.0.129
access-list 1 deny 172.16.0.128 0.0.0.127
access-list 1 deny 172.16.1.0 0.0.0.63
access-list 1 deny 172.16.1.64 0.0.0.63
access-list 1 deny 172.16.1.128 0.0.0.31
access-list 1 permit any
access-list 2 deny 172.16.0.0 0.0.0.127
access-list 2 deny 172.16.1.0 0.0.0.63
access-list 2 deny 172.16.1.64 0.0.0.63
access-list 2 permit any
access-list 3 deny 172.16.0.128 0.0.0.127
access-list 3 deny 172.16.0.0 0.0.0.127
access-list 3 deny 172.16.1.128 0.0.0.3
access-list 3 permit any
access-list 100 deny ip 172.16.0.0 0.0.0.127 172.16.4.32 0.0.0.31
access-list 100 deny ip 172.16.0.0 0.0.0.127 172.16.4.64 0.0.0.31
access-list 100 deny ip 172.16.0.0 0.0.0.127 172.16.4.96 0.0.0.31
access-list 100 deny ip 172.16.0.0 0.0.0.127 172.16.4.128 0.0.0.31
access-list 100 deny ip 172.16.0.128 0.0.0.127 172.16.4.0 0.0.0.31
access-list 100 deny ip 172.16.0.128 0.0.0.127 172.16.4.64 0.0.0.31
access-list 100 deny ip 172.16.0.128 0.0.0.127 172.16.4.96 0.0.0.31
access-list 100 deny ip 172.16.1.0 0.0.0.63 172.16.4.0 0.0.0.31
access-list 100 deny ip 172.16.1.0 0.0.0.63 172.16.4.32 0.0.0.31
access-list 100 deny ip 172.16.1.0 0.0.0.63 172.16.4.128 0.0.0.31
access-list 100 deny ip 172.16.1.64 0.0.0.63 172.16.4.0 0.0.0.31
access-list 100 deny ip 172.16.1.64 0.0.0.63 172.16.4.32 0.0.0.31
access-list 100 deny ip 172.16.1.64 0.0.0.63 172.16.4.128 0.0.0.31
access-list 100 deny ip 172.16.1.128 0.0.0.31 172.16.4.0 0.0.0.31
access-list 100 deny ip 172.16.1.128 0.0.0.31 172.16.4.64 0.0.0.31
access-list 100 deny ip 172.16.1.128 0.0.0.31 172.16.4.96 0.0.0.31
access-list 100 permit ip any any

Kod: Zaznacz cały

interface FastEthernet0/0
 no ip address
 ip access-group 100 in
 duplex auto
 speed auto
!
interface FastEthernet0/0.10
 description Ksiegowosc
 encapsulation dot1Q 10
 ip address 172.16.4.1 255.255.255.224
 ip access-group 1 out
!
interface FastEthernet0/0.20
 description Sekretariat
 encapsulation dot1Q 20
 ip address 172.16.4.33 255.255.255.224
 ip access-group 2 out
!
interface FastEthernet0/0.30
 description Kadry
 encapsulation dot1Q 30
 ip address 172.16.4.65 255.255.255.224
 ip access-group 3 out
!
interface FastEthernet0/0.40
 description Place
 encapsulation dot1Q 40
 ip address 172.16.4.97 255.255.255.224
 ip access-group 3 out
!
interface FastEthernet0/0.50
 description Dyrekcja
 encapsulation dot1Q 50
 ip address 172.16.4.129 255.255.255.224
 ip access-group 2 out
!
interface FastEthernet1/0
 ip address 172.16.7.134 255.255.255.252
 duplex auto
 speed auto
!
interface FastEthernet2/0
 ip address 172.16.7.138 255.255.255.252
 duplex auto
 speed auto
!
interface FastEthernet3/0
 no ip address
 duplex auto
 speed auto
 shutdown
!
router ospf 1
 log-adjacency-changes
 network 172.16.7.136 0.0.0.3 area 0
 network 172.16.7.132 0.0.0.3 area 0
 network 172.16.4.0 0.0.0.31 area 0
 network 172.16.4.32 0.0.0.31 area 0
 network 172.16.4.64 0.0.0.31 area 0
 network 172.16.4.96 0.0.0.31 area 0
 network 172.16.4.128 0.0.0.31 area 0
!
ip classless
!
ip flow-export version 9
!
!
access-list 2 deny 172.16.4.0 0.0.0.31
access-list 2 deny 172.16.4.64 0.0.0.31
access-list 2 deny 172.16.4.96 0.0.0.31
access-list 2 permit any
access-list 3 deny 172.16.4.0 0.0.0.31
access-list 3 deny 172.16.4.32 0.0.0.31
access-list 3 deny 172.16.4.128 0.0.0.31
access-list 3 permit any
access-list 1 deny 172.16.4.128 0.0.0.31
access-list 1 deny 172.16.4.96 0.0.0.31
access-list 1 deny 172.16.4.64 0.0.0.31
access-list 1 deny 172.16.4.32 0.0.0.31
access-list 1 permit any
access-list 100 deny ip 172.16.4.0 0.0.0.31 172.16.0.128 0.0.0.127
access-list 100 deny ip 172.16.4.0 0.0.0.31 172.16.1.0 0.0.0.63
access-list 100 deny ip 172.16.4.0 0.0.0.31 172.16.1.64 0.0.0.63
access-list 100 deny ip 172.16.4.0 0.0.0.31 172.16.1.128 0.0.0.31
access-list 100 deny ip 172.16.4.32 0.0.0.31 172.16.0.0 0.0.0.127
access-list 100 deny ip 172.16.4.32 0.0.0.31 172.16.1.0 0.0.0.63
access-list 100 deny ip 172.16.4.32 0.0.0.31 172.16.1.64 0.0.0.63
access-list 100 deny ip 172.16.4.64 0.0.0.31 172.16.0.0 0.0.0.127
access-list 100 deny ip 172.16.4.64 0.0.0.31 172.16.0.128 0.0.0.127
access-list 100 deny ip 172.16.4.64 0.0.0.31 172.16.1.128 0.0.0.31
access-list 100 deny ip 172.16.4.96 0.0.0.31 172.16.0.0 0.0.0.127
access-list 100 deny ip 172.16.4.96 0.0.0.31 172.16.0.128 0.0.0.127
access-list 100 deny ip 172.16.4.96 0.0.0.31 172.16.1.128 0.0.0.31
access-list 100 deny ip 172.16.4.128 0.0.0.31 172.16.0.0 0.0.0.127
access-list 100 deny ip 172.16.4.128 0.0.0.31 172.16.1.64 0.0.0.63
access-list 100 deny ip 172.16.4.128 0.0.0.31 172.16.1.0 0.0.0.63
access-list 100 permit ip any any

geminiuss
member
member
Posty: 38
Rejestracja: 16 lut 2008, 00:38

Re: ACCESS CONTROL LIST - (in)

#4

#4 Post autor: geminiuss » 17 maja 2017, 10:09

Te ACL powinny byc IN ale na sub interfacach.

Awatar użytkownika
frontier
wannabe
wannabe
Posty: 1833
Rejestracja: 16 lis 2004, 13:55
Lokalizacja: Edinburgh

Re: ACCESS CONTROL LIST - (in)

#5

#5 Post autor: frontier » 17 maja 2017, 10:28

Jak zrobisz trunka na interfejsie no to na fa0/0 nie wrzucasz adresu IP ani żadnych access list. A teraz hint, załóżmy że chcesz zablokować hosta 172.16.0.10 z VLAN 10, no to

Kod: Zaznacz cały

access-list 1 deny host 172.16.0.10
access-list 1 permit any
int fa0/0.10
ip access-gr 1 in
Jeden konfig wart więcej niż tysiąc słów

Adam1002
fresh
fresh
Posty: 7
Rejestracja: 16 maja 2017, 19:57

Re: ACCESS CONTROL LIST - (in)

#6

#6 Post autor: Adam1002 » 23 maja 2017, 16:33

Dziękuje wszystkim za pomoc! :-)

Adam1002
fresh
fresh
Posty: 7
Rejestracja: 16 maja 2017, 19:57

Re: ACCESS CONTROL LIST - (in)

#7

#7 Post autor: Adam1002 » 24 maja 2017, 19:57

Cześć, chciałbym się was poradzić czy istnieje możliwość zrobienia acl(rozszerzonej na danej niżej topologi) tak aby host(admin) mógł pignąć do hosta(użytkownicy) ale tak aby użytkownik nie mógł do admina.
https://zapodaj.net/83a88ea4516e7.jpg.html

Awatar użytkownika
judge dredd
wannabe
wannabe
Posty: 139
Rejestracja: 02 sie 2009, 15:23

Re: ACCESS CONTROL LIST - (in)

#8

#8 Post autor: judge dredd » 25 maja 2017, 11:54

Cześć,

Jak najbardziej istnieje taka możliwość. Żeby to zrealizować, trzeba by utworzyć access-listę, która zabroniłaby wysyłania pakietów ICMP typu "echo-request" od użytkownika do admina, ale dozwoliła na wysyłanie pakietów ICMP "echo-reply". Wpisy tego dotyczące na access-liście mogłyby wyglądać np. tak:

Kod: Zaznacz cały

access-list 101 deny icmp host [Użytkownik] host [Admin] echo
access-list 101 permit icmp host [Użytkownik] host [Admin] echo-reply
Taką access-listę trzeba by przypiąć w kierunku od użytkownika do admina, czyli albo na interfejsie Fa1/0 w kierunku "in" albo na interfejsie Fa0/0 w kierunku "out".

Jeśli natomiast ogólne założenie byłoby takie, aby z sieci adminów można było pingować wszystkich innych, ale nikt inny z nikąd nie mógł pingować nikogo w sieci adminów, to można by to było zrobić tak:

Kod: Zaznacz cały

access-list 101 permit icmp any any echo-reply
access-list 101 deny icmp any any echo

interface Fa0/0
 ip access-group 101 out
Oczywiście w powyższych przykładach nie poruszam kwestii przesyłania innego ruchu - tylko to, co się tyczy przedmiotu pytania, czyli "pingowania".

Pozdrawiam!

JD

Awatar użytkownika
nowyk123
wannabe
wannabe
Posty: 71
Rejestracja: 05 mar 2017, 21:46

Re: ACCESS CONTROL LIST - (in)

#9

#9 Post autor: nowyk123 » 26 maja 2017, 17:59

@Adam1002 może już o tym było ale nie wiem i pytam bo mnie to ciekawi, a mianowicie robisz to na prawdziwym sprzęcie czy w jakimś programie typu gns3?
:)

Adam1002
fresh
fresh
Posty: 7
Rejestracja: 16 maja 2017, 19:57

Re: ACCESS CONTROL LIST - (in)

#10

#10 Post autor: Adam1002 » 27 maja 2017, 13:32

Dziękuje judge dredd, bardzo mi pomogłeś, jestem twoim dłużnikiem Mam jeszcze jedno pytanie, a jeśli chciałbym aby to było do komunikacji co bym musiał zrobić? Na początku robię w Packet tracer a później to przerzucam na prawdziwe urządzenia :P

Awatar użytkownika
judge dredd
wannabe
wannabe
Posty: 139
Rejestracja: 02 sie 2009, 15:23

Re: ACCESS CONTROL LIST - (in)

#11

#11 Post autor: judge dredd » 30 maja 2017, 15:13

Adam1002 pisze:...a jeśli chciałbym aby to było do komunikacji co bym musiał zrobić?
Cześć,

Rozumiem, że chodzi Ci o to, żeby zrobić taką access-listę, która pozwalałaby adminom na pełną komunikację do wszystkich, ale żeby nikt nie mógł dostać się do sieci adminów? Na access-listach można to osiągnąć dla ruchu tcp oraz dla icmp. Jesli chciałbyś regulować również ruch udp na takiej zasadzie, to potrzebujesz już SPI, czyli firewalla. Ale w wielu przypadkach tcp/icmp wystarcza. Trzeba wtedy zrobić tak:

Przypiąć na interfejsie sieci adminów access-listę w kierunku "out", która zabroni całego ruchu za wyjątkiem odpowiedzi na pinga oraz pakietów powracających z zestawionych sesji tcp. Najprościej i bez wchodzenia w niuanse mogłoby to wyglądać następująco:

Kod: Zaznacz cały

access-list 101 permit tcp any any established
access-list 101 permit icmp any any echo-reply
access-list 101 deny ip any any

interface Fa0/0
 ip access-group 101 out
Dzięki temu cały ruch z sieci adminów będzie dozwolony do wyjścia na zewnątrz (brak access-listy "in"), a ruch powracający z sesji tcp lub odpowiedzi na pinga będzie wpuszczony przy pomocy wymienionych reguł na access-liście "out". Żaden inny ruch nie będzie wpuszczony do sieci adminów - niestety będzie to dotyczyć również pakietów udp, które mogą być odpowiedziami na jakieś zapytania z sieci adminów (np. DNS, NTP) - w takiej sytuacji trzeba dopisać odpowiednie wyjątki udp.

Generalnie access-listy to dłuższy temat i ma wiele niuansów, ale posługując się tymi przykładami możesz dalej kombinować.

Pozdrawiam!

JD

Adam1002
fresh
fresh
Posty: 7
Rejestracja: 16 maja 2017, 19:57

Re: ACCESS CONTROL LIST - (in)

#12

#12 Post autor: Adam1002 » 02 cze 2017, 16:21

Cześć judge dredd,
dziękuje za taką obszerną odpowiedz! Dużo mi wyjaśniłeś, jeszcze raz wielkie dzięki.
Pozdrawiam Ciebie bardzo serdecznie :)

ODPOWIEDZ