Практическая работа №13
Расширенные списки контроля доступа
Цель работы: Стать "умным" охранником, который разрешает смотреть сайты, но запрещает делать пинг (и наоборот).
Чем отличаются Расширенные ACL?
Стандартные (прошлый урок) смотрели только на паспорт (IP-адрес).
Расширенные (Extended) смотрят на всё:
- Откуда пришел? (Source IP)
- Куда идет? (Destination IP)
- Что хочет делать? (Protocol: смотреть сайт, качать файл, пинговать)
У них номера от 100 до 199.
Задание
[PC0] (192.168.1.10) --- [Router] --- [Server] (192.168.2.100)
Мы хотим разрешить PC0 открывать веб-сайты на сервере, но ЗАПРЕТИТЬ делать PING.
(Так часто делают в интернете, чтобы хакеры не сканировали сеть).
Создаем умные правила
Список номер 100.
Router# configure terminal
(Правило 1: РАЗРЕШИТЬ веб-трафик)
(tcp — это протокол надежной доставки)
(eq 80 — это порт 80, то есть Web/HTTP)
Router(config)# access-list 100 permit tcp host 192.168.1.10 host 192.168.2.100 eq 80
(Правило 2: ЗАПРЕТИТЬ пинг)
(icmp — это протокол пинга)
Router(config)# access-list 100 deny icmp host 192.168.1.10 host 192.168.2.100
(Правило 3: Разрешить все остальное, если нужно)
Router(config)# access-list 100 permit ip any any
Применяем ACL
Ставим этот список на вход интерфейса, где сидит компьютер.
Router(config-if)# ip access-group 100 in
Router(config-if)# exit
Проверка
1. Попробуйте сделать PING с PC0 на Сервер. Он должен НЕ работать (Request timed out или Destination unreachable).
2. Откройте на PC0 Web Browser и введите IP адрес сервера (192.168.2.100).
Сайт должен открыться! Вы настроили настоящий Firewall.