19/9/2009 - Extended IP Access List

Extended IP Access List

Extended IP access list’ler, standart IP access list’lere oranla çok daha gelişmiş bir filtreleme imkanı sunarlar. Örnegin filtreleme yaparken paketlerde taşınan protokol bilgisini kullanabilirsiniz. Böylece bazı protokollere ait paketlerin Router’ın belirlediğiniz interface’lerinden çıkmasını veya o interface’lere girmesini engelleyebilirsiniz.

Aşağıdaki söz dizimi Extended Access List tanımlar.

RouterA(config)#access-list [no] [permit/deny] [protocol] [source Network] [wild card] [Destination Network] [wild card] [Eşitlik Bilgisi] [log]

[log] : Bu komutu ekleyerek network trafiginin log'larının tutullarak gözlenmesi sağlanır. RouterA#show log

[Protocol] : TCP veya UDP yazılır. Eğer Buraya "icmp" yazılırsa ping işlevi yerine getirilmez.

[no] :100-199 arasında bir rakam verilebilir.

[Eşitlik Bilgisi] : TCP veya UDP port nosu yazılır.

Örneğin router’ın e0 interface’ine bağlı server’ımıza (IP adresi 10.3.20.1) gelen telnet isteklerini kesmek isteyelim. Bunun için router üzerinde yapmamız gereken işlemler şöyledir;

RouterA(config)#access-list 121 deny tcp any host 10.3.20.1 eq 23
RouterA(config)#access-list 121 permit tcp any any
RouterA(config)#int e0
RouterA(config-if)#ip access-group 121 out

Not : Burdaki "any host " komutu anlamı herbir host anlamına gelir

Burada 23 telnet’in kullandığı TCP port numarasıdır. Siz bu server’a gelen tüm tcp paketlerini engellemek isterseniz ise o zaman kullanacağımız komut;

RouterA(config)#access-list 121 deny tcp any host 10.3.20.1
şeklinde olacaktır.