CISCO Accesslisten: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
Thomas (Diskussion | Beiträge) |
Thomas (Diskussion | Beiträge) |
||
| (3 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
| Zeile 30: | Zeile 30: | ||
unkerich# | unkerich# | ||
unkerich#configure terminal | unkerich#configure terminal | ||
| − | unkerich(config)#ip access-list extended | + | unkerich(config)#ip access-list extended xinux-acl |
| − | unkerich(config-ext-nacl)#permit tcp any | + | unkerich(config-ext-nacl)# permit tcp 172.24.67.0 0.0.0.255 any eq www |
| − | unkerich(config-ext-nacl)#permit udp | + | unkerich(config-ext-nacl)# permit tcp 172.24.67.0 0.0.0.255 any eq 443 |
| − | unkerich(config-ext-nacl)# | + | unkerich(config-ext-nacl)# permit tcp 172.24.67.0 0.0.0.255 any eq domain |
| − | unkerich(config)# | + | unkerich(config-ext-nacl)# permit tcp 172.24.67.0 0.0.0.255 any eq smtp |
| + | unkerich(config-ext-nacl)# permit udp 172.24.67.0 0.0.0.255 any eq domain | ||
| + | unkerich(config-ext-nacl)# permit icmp 172.24.67.0 0.0.0.255 any | ||
| + | unkerich(config-ext-nacl)# permit udp any any eq bootps | ||
| + | |||
| + | ===Anwenden der Accesslisten=== | ||
| + | ====Anwenden in==== | ||
unkerich# | unkerich# | ||
| + | unkerich#configure terminal | ||
| + | unkerich(config)#interface FastEthernet0/1 | ||
| + | unkerich(config-if)#ip access-group xinux-acl in | ||
| + | |||
| − | ===Anwenden | + | ====Anwenden out==== |
unkerich# | unkerich# | ||
unkerich#configure terminal | unkerich#configure terminal | ||
| + | unkerich(config)#interface FastEthernet0/0 | ||
unkerich(config-if)#ip access-group 1 out | unkerich(config-if)#ip access-group 1 out | ||
unkerich(config-if)#ip access-group 100 out | unkerich(config-if)#ip access-group 100 out | ||
| − | |||
| − | |||
unkerich(config-if)#exit | unkerich(config-if)#exit | ||
unkerich(config)# | unkerich(config)# | ||
| Zeile 75: | Zeile 84: | ||
permit tcp any host 192.168.240.21 eq domain | permit tcp any host 192.168.240.21 eq domain | ||
permit udp any host 192.168.240.21 eq domain | permit udp any host 192.168.240.21 eq domain | ||
| + | |||
| + | =Links= | ||
| + | *http://www.cisco.com/c/en/us/support/docs/security/ios-firewall/23602-confaccesslists.html | ||
Aktuelle Version vom 6. Februar 2016, 17:57 Uhr
Alle Zugriffslisten enden mit einem impliziten Deny
Standardlisten von 1 bis 99
Nur die Quelladresse wird geprüft
unkerich#configure terminal unkerich(config)#access-list 1 permit 172.21.1.1 unkerich(config)#access-list 1 deny 172.21.1.0 0.0.0.255 unkerich(config)#exit unkerich#
Erweitertelisten von 100 bis 199
unkerich# unkerich#configure terminal unkerich(config)#access-list 100 permit tcp any host 192.168.240.100 eq www unkerich(config)#access-list 100 permit tcp any 192.168.240.0 0.0.16.255 eq 22 unkerich(config)# exit unkerich#
Benannte Accesslisten Standard
unkerich# unkerich#configure terminal unkerich(config)#ip access-list standard sorry-acl unkerich(config-std-nacl)#permit 192.168.24.1 unkerich(config-std-nacl)#deny 192.168.24.0 0.0.0.255 unkerich(config)# exit unkerich#
Benannte Accesslisten Extended
unkerich# unkerich#configure terminal unkerich(config)#ip access-list extended xinux-acl unkerich(config-ext-nacl)# permit tcp 172.24.67.0 0.0.0.255 any eq www unkerich(config-ext-nacl)# permit tcp 172.24.67.0 0.0.0.255 any eq 443 unkerich(config-ext-nacl)# permit tcp 172.24.67.0 0.0.0.255 any eq domain unkerich(config-ext-nacl)# permit tcp 172.24.67.0 0.0.0.255 any eq smtp unkerich(config-ext-nacl)# permit udp 172.24.67.0 0.0.0.255 any eq domain unkerich(config-ext-nacl)# permit icmp 172.24.67.0 0.0.0.255 any unkerich(config-ext-nacl)# permit udp any any eq bootps
Anwenden der Accesslisten
Anwenden in
unkerich# unkerich#configure terminal unkerich(config)#interface FastEthernet0/1 unkerich(config-if)#ip access-group xinux-acl in
Anwenden out
unkerich# unkerich#configure terminal unkerich(config)#interface FastEthernet0/0 unkerich(config-if)#ip access-group 1 out unkerich(config-if)#ip access-group 100 out unkerich(config-if)#exit unkerich(config)#
Anzeigen der Accesslisten
unkerich#show ip access-lists
Standard IP access list 1
permit 172.21.1.1
deny 172.21.1.0, wildcard bits 0.0.0.255
Standard IP access list sorry-acl
permit 192.168.24.1
deny 192.168.24.0, wildcard bits 0.0.0.255
Extended IP access list 100
permit tcp any host 192.168.240.100 eq www
permit tcp any 192.168.224.0 0.0.16.255 eq 22
Extended IP access list schade-acl
permit tcp any host 192.168.240.21 eq domain
permit udp any host 192.168.240.21 eq domain
unkerich#show access-lists
Standard IP access list 1
permit 172.21.1.1
deny 172.21.1.0, wildcard bits 0.0.0.255
Standard IP access list sorry-acl
permit 192.168.24.1
deny 192.168.24.0, wildcard bits 0.0.0.255
Extended IP access list 100
permit tcp any host 192.168.240.100 eq www
permit tcp any 192.168.224.0 0.0.16.255 eq 22
Extended IP access list schade-acl
permit tcp any host 192.168.240.21 eq domain
permit udp any host 192.168.240.21 eq domain