정보보안/공부 기록

ACL

고고잉 2023. 1. 1. 19:15

ACL은 항상 위에서 아래로 순차적으로 적용 된다.
AALL Deny가 기본값으로 마지막에 지정되어있다.

모든 조건으로 하려면 any
하나만 조건으로 하려 wildcard를 0.0.0.0으로 한다.

access-list 에서 1 permit 을 주면 
access-list 에서 100 permit 을 주면 

ACL 조건달기
interface fa 0/1
ip-access-group ?
ip-access-group 1 ?
ip-access-group 1 in

접근 제어 목록 작성 형식
- 블랙 리스트 : 차단 목록 작성, 목록 외 허용
standar

deny
deny
deny

All Permit
All Deny

- 화이트 리스트 : 허용 목록 작성, 목록 외 차단
standar

permit
permit
permit

All Deny

-------------------------------------------------------------
R3 라우터에 ACL(2번) 작성하여 172.16.0.100으로
192.168.1.1은 ping 가능, 192.168.2.1은 ping 불가능
> 블랙리스트 형태로 192.168.2.1을 제외한 나머지 모든 주소는 허용되는 형태로 ACL 작성


(config)#access-list 2 deny 192.168.2.1 0.0.0.0
(config)#access-list 2 permit any
(config)#end

show accsee-lists

(config)#int fa 0/1
(config-if)#ip access-group 2 inbound

R3 라우터에 ACL(3번) 작성하여 172.16.0.100으로
192.168.1.0/24 중 짝수 IP 허용, 홀수 IP 거부 
(마지막 비트는 주어진 1로 맞춰야하기 때문에 제일 작은 숫사 1을 쓴다.)
192.168.2.0/24 중 홀수 IP 허용, 짝수 IP 거부
(주어진 ip에서 7번째 비트까지는 무엇이 와도 상관없지만 마지막 비트는 주어진 0으로 고정되어야 하니까 1111 1110이 온다.
0000 0000
1111 1110
XXXX XXX0
나머지 통신 허용

R3(config)#access-list 3 deny (출발지)192.168.1.1 0.0.0.254
R3(config)#access-list 3 deny (출발지)192.168.2.0 0.0.0.254

R3(config)#access-list 3 permit any

R3(config)#int fa 0/1
R3(config-if)#ip access-group 3 in

R3 라우터에 ACL(4번) 작성하여 172.16.0.100으로
192.168.1.0/24 중 0~127 IP허용, 128~255 IP 거부 
192.168.2.0/24 중 0~127 IP거부, 128~255 IP 허용
나머지 통신 허용

R3(config)#access-list 4 deny (출발지)192.168.1.128 0.0.0.127
R3(config)#access-list 4 deny (출발지)192.168.2.0 0.0.0.127
R3(config)#access-list 4 permit any

R3(config)#int fa 0/1
R3(config-if)#ip access-group 4 in

0 0000 0000
1 0000 0001
2 0000 0010
3 0000 0011
~
127 0111 1111

여기서 공통점은 첫번째 비트가 0이다.

0XXX XXXX

0000 0000

0111 1111

192.168.1.0 0.0.0.127

128 1000 0000
129 1000 0001
130 1000 0010
~
255 1111 1111

공통점은 첫번째 비트가 1이다.

1XXX XXXX

1000 0000

0111 1111

192.168.1.128 0.0.0.127


R3(config-if)#no ip access-group 4


ALFTP 실행 후 서버 실행 & 접속 하기

출발지 상관없지 172.16.0.100에 대해서 ICMP만 안되도록

R3(config)#access-list 100 deny icmp any host 172.16.0.100
(모든 프로토콜을 포함 하고 싶으면 IP를 지정한다)
R3(config)#access-list 100 permit ip any any

R3(config)#int fa 0/1
R3(config-if)#ip access-group 100 in




확장 ACL 101 생성
192.168.1.0/24 네트워크에서는 172.16.0.100으로 FTP서비스(TCP21) 불가능
192.168.2.0/24 네트워크에서는 172.16.0.100으로 Ping(imcp) 불가능
나머지 통신은 가능




1. 각 라우터 인터페이스 설정
2. 각 라우터에 라우팅 설정(rip or ospf)

Telnet ACL
R2(config)#access-list 101 permit tcp host 10.10.10.10 any eq 23 log
R2(config)#line vty 0 4
R2(config-line)#access-class 101 in

확장형 acl
R3(config)#ip access-list extended internal