Cem Kemal Erbaş Cem Kemal Erbaş
ACL’ler yönlendirici düzeyinde güvenlik sağlar ve paket filtreleme gerçekleştirir. IP ve port numarasına göre paketleri engelleyebilirler.
“10 boşluk 20 alana gidelim. Alan 10,… 20 gibi bir alandaki web sunucusuna bağlanamaz. ”
ACL yazarak, ağ güvence altına alınabilir ve bazı kısıtlamalar yapılabilir. Bu şekilde belirli bir ip alanının başka bir yere, bir ipten başka bir ipe
ulaşmasını önleyebiliriz.
EKL’ler standartlara ayrılır ve genişletilir. Bu yazıda size Standart EKL’lerden bahsedeceğim. Ama kısaca Genişletilmiş ACL’ler hakkında konuşayım.
GENİŞLETİLMİŞ ERİŞİM KONTROL LİSTELERİ
Bu ACL’ler giden paketleri, kaynak ip adresi, hedef ip adresi, protokol ve protokol türü (IP, TCP, UDP, ICMP…) gibi kriterlere göre analiz ederek geçirir
veya reddeder. Paket analizini standart ACL’lerden daha ayrıntılı olarak gerçekleştirir. Genişletilmiş ACL, kaynağa en yakın yönlendiriciye yazılmıştır.
EAL’ler 100 ila 199 arasında numaralandırılmıştır.
STANDART ERİŞİM KONTROL LİSTELERİ
SAL’lerin konfigürasyonunu açıklamadan önce, bir yönlendiricideki ACL’lerin çalışması hakkında konuşmak gerekir. ACL’yi bir yönlendiricinin gelen veya giden
tarafına yazabilirsiniz. Ve bir yönlendiricinin arayüzüne sadece bir ACL yazılabilir.
ACL VE SUBNET MASK
Bir ACL’ye satır yazarken, alt ağ maskesi de yazılabilir. Ancak alt ağ maskesi doğrudan yazılmaz, wildcard mask maskesi kullanılır.
Wildcard Mask ;
Alt ağ maskesinin tersine yazılmış 32 bitlik bir değerdir. Bu, kısıtlamayı bir adım daha ileri götürmek için kullanılabilir.
/ 24 ağındaki bir cihazın alt ağ maskesi 255.255.255.0’dır. Bu, ilk 24 bitin ağa, son 8 bitin ana bilgisayarlara ait olduğu anlamına gelir. ACL’leri
yazarken, alt ağ maskesini bu şekilde yazamayız, ancak basit bir çıkartma ile joker maskeye dönüştürürüz. 255.255.255.0 alt ağ maskesine sahip bir cihazın
joker karakter maskesi;
255.255.255.255. – 255.255.255.0 = 0.0.0.255. Bu, satırda yazılan ipin ilk 24 oktuğunun kontrol edildiği ve son oktetin göz ardı edildiği anlamına gelir.
access-list 1 permit 192.168.1.0 0.0.0.255 -> Gelen paketin ip’si 192.168.1 ile başlıyorsa paketi geçir.
access-list 1 deny 192.168.2.2 0.0.0.0 -> Tüm bitleri kontrol eder. “access-list 1 deny 192.168.2.2” ile aynı işlevi görür.
access-list 5 deny 0.0.0.0 255.255.255.255 -> Hiçbir biti kontrol etmez. “Any” satırıyla aynı işlevi görür.
İsterseniz, “host” komutunu yazabilirsiniz.
Aşağıdaki 3 satır aynı şeyi yapar.
access-list 1 permit 192.168.2.2 0.0.0.0
access-list 1 permit host 192.168.2.2
access-list 1 permit 192.168.2.2
//R1 Yapılandırması
R1# show access-lists
Standard IP access list 21
10 deny host 192.168.1.11
20 deny host 192.168.1.12
30 deny host 192.168.1.13
40 permit host 192.168.1.14
50 permit host 192.168.1.15
60 deny host 192.168.1.16
70 permit host 192.168.1.17
80 permit host 192.168.1.18
Standard IP access list 45
10 permit host 192.168.2.11
20 permit host 192.168.2.12
30 permit host 192.168.2.13
40 permit host 192.168.2.15
50 permit 192.168.2.0 0.0.0.255
Standard IP access list 55
10 permit 192.168.3.0 0.0.0.255
20 deny any
//R2 Yapılandırması
R2(config)# no access-list 45
R2(config)# no access-list 55
R2(config)# exit
R1#show access-lists
Standard IP access list 21
10 deny host 192.168.1.11
20 deny host 192.168.1.12
30 deny host 192.168.1.13
40 permit host 192.168.1.14
50 permit host 192.168.1.15
60 deny host 192.168.1.16
70 permit host 192.168.1.17
KONTROL KOMUTLARI:
R1# show access-lists 1
Standard IP access list 1
deny host 192.168.1.11
permit 192.168.1.0 0.0.0.255
permit 192.168.3.0 0.0.0.255
R1# show ip interface Gi 0/1
GigabitEthernet0/1 is up, line protocol is up
Internet address is 192.168.2.1/24
Broadcast address is 255.255.255.255
Address determined by setup command
MTU is 1500 bytes
Helper address is not set
Directed broadcast forwarding is disabled
Outgoing access list is 1
Inbound access list is not set
PC1 C:> ping 192.168.2.11
Pinging 192.168.2.11 with 32 bytes of data:
Reply from 192.168.1.1: Destination host unreachable.
Reply from 192.168.1.1: Destination host unreachable.
Reply from 192.168.1.1: Destination host unreachable.
PC2 C:> ping 192.168.2.11
Pinging 192.168.2.11 with 32 bytes of data:
Reply from 192.168.2.11: bytes=32 time<1ms TTL=127
Reply from 192.168.2.11: bytes=32 time<1ms TTL=127
R1#show access-lists 1
Standard IP access list 1
deny host 192.168.1.11 (4 match(es))
permit 192.168.1.0 0.0.0.255 (8 match(es))
permit 192.168.3.0 0.0.0.255
//R1’de LAPTOP_KORUMA isimli ACL yazılması
R1(config)# ip access-list standard LAPTOP_KORUMA
R1(config-std-nacl)# deny 192.168.1.0 0.0.0.255
R1(config-std-nacl)# permit 192.168.2.0 0.0.0.255
R1(config-std-nacl)# permit 192.168.4.0 0.0.0.255
R1(config-std-nacl)# permit 192.168.5.0 0.0.0.255
R1(config-std-nacl)# permit any
R1(config)# interface Gi 0/1/0
R1(config-if)# ip access-group LAPTOP_KORUMA out
R1# show access-lists
……
Standard IP access list LAPTOP_KORUMA
10 deny 192.168.1.0 0.0.0.255
20 permit 192.168.2.0 0.0.0.255
30 permit 192.168.4.0 0.0.0.255
40 permit 192.168.5.0 0.0.0.255
50 permit any
R1(config)#ip access-list standard LAPTOP_KORUMA
R1(config-std-nacl)# no 30
R1(config-std-nacl)# 5 permit host 192.168.1.11
R1# show access-lists
Standard IP access list LAPTOP_KORUMA
5 permit host 192.168.1.11
10 deny 192.168.1.0 0.0.0.255
20 permit 192.168.2.0 0.0.0.255
40 permit 192.168.5.0 0.0.0.255
50 permit any
PC1 C:> ping 192.168.3.11
Reply from 192.168.3.11: bytes=32 time<1ms Reply from 192.168.3.11: bytes=32 time<1ms
PC2 C:\> ping 192.168.3.11
Reply from 192.168.1.1: Destination host unreachable.
Reply from 192.168.1.1: Destination host unreacha
R1# show access-lists
Standard IP access list LAPTOP_KORUMA
5 permit host 192.168.1.11 (4 match(es))
10 deny 192.168.1.0 0.0.0.255 (4 match(es))
20 permit 192.168.2.0 0.0.0.255
40 permit 192.168.5.0 0.0.0.255
50 permit any
//21 No’Lu ACL’yi Düzenleme
R1#show access-lists
Standard IP access list 21
10 deny host 192.168.1.11
20 deny host 192.168.1.12
30 deny host 192.168.1.13
40 permit host 192.168.1.14
50 permit host 192.168.1.15
60 deny host 192.168.1.16
70 permit host 192.168.1.17
80 permit host 192.168.1.18
R1(config)# ip access-list standard 21
R1(config-std-nacl)# no 10
R1(config-std-nacl)# no 20
R1(config-std-nacl)# no 30
R1(config-std-nacl)# no 60
R1(config-std-nacl)# end
R1#wr
Building configuration…
[OK]
R1#show access-lists
Standard IP access list 21
40 permit host 192.168.1.14
50 permit host 192.168.1.15
70 permit host 192.168.1.17
80 permit host 192.168.1.18
// SW1 ve SW2’nin Temel Konfigurasyonu, SADECE 192.168.1.12’ye telnet izni verilmesi.
Switch# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)# hostname SW1
SW1(config)# enable secret cisco
!
SW1(config)# line vty 0 15
SW1(config-line)# password cisco
SW1(config-line)# login
SW1(config-line)# exit
!
SW1(config)# interface vlan 1
SW1(config-if)#ip address 192.168.1.101 255.255.255.0
SW1(config-if)# no shutdown %LINK-5-CHANGED: Interface Vlan1, changed state to up
!
SW1(config)# ip access-list standard VTY_ERISIM
SW1(config-std-nacl)# permit host 192.168.1.12
SW1(config-std-nacl)# deny any
SW1(config-std-nacl)# exit
!
SW1(config)# line vty 0 15
SW1(config-line)# access-class VTY_ERISIM in
Switch# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)# hostname SW2
SW2(config)# enable secret cisco
!
SW2(config)# line vty 0 15
SW2(config-line)# password cisco
SW2(config-line)# login
SW2(config-line)# exit
!
SW2(config)# interface vlan 1
SW2(config-if)#ip address 192.168.2.101 255.255.255.0
SW2(config-if)# no shutdown %LINK-5-CHANGED: Interface Vlan1, changed state to up
!
SW2(config)# ip access-list standard VTY_ERISIM
SW2(config-std-nacl)# permit host 192.168.1.12
SW2(config-std-nacl)# deny any
SW2(config-std-nacl)# exit
!
SW2(config)# line vty 0 15
SW2(config-line)# access-class VTY_ERISIM in
PC2 C:> telnet 192.168.1.101
Trying 192.168.1.101 …Open
User Access Verification
Password:
SW1>en
C:> telnet 192.168.1.101
Trying 192.168.1.101 …
% Connection refused by remote host
