Standart IP Access List

2009-09-19 14:42:00
Standart IP Access List

Standart IP access list’leri IP paketinin kaynak IP kısmına bakarak filtreleme gerçekleştirir. Aşağıdaki söz dizimi standart Access List tanımlar.

RouterA(config)#access-list [no] [permit/deny] [source Network] [wild card]

[No] : 1 / 99 arasında bir rakam verilebilir.

Wild Card' lara verilebilecek değerler.

0.0.0.3
0.0.0.7
0.0.0.15
0.0.0.31
0.0.0.63
0.0.0.127
0.0.0.255
...........
0.0.3.255
...........
0.255.255.255

Not: Bir network Adresi sonunda Wild Card dahil edilmesse router örnegin 10.5.1.0 network adresi için Wild Card 0.255.255.255 kabul eder. Bir IP adresi sonuna Wild Card Dahil edilmesse Router Örnegin 10.5.1.5 ip adresi için Wild Card' ı 0.0.0.0 kabul eder.

Örnekler;

Aşağıdaki örnekte access-list numarası 15 olan ve 10.3.9.3 nolu hostdan gelecek tüm paketleri kabul etmeyecek bir access list tanımlanmıştır.

RouterA(config)#access-list 15 deny 10.3.9.3

Yukarıda oluşturulan access list ile sadece network’teki bir bilgisayardan gelecek paketlerin filtrelemesini sağlıyor. Peki biz birden fazla host’u etkileyecek bir access list’i nasıl oluşturacağız? Bunun için wildcard’ları kullanacağız. Wildcard’lar router’a kullanılan IP adres aralığının ne kadarının filtreleneceğini gösterir.

Örneğin;

RouterA(config)#access-list 20 deny 10.3.10.1 0.0.0.0

komutundaki sıfır rakamları router’a IP adresi 10.3.10.1 olan host’a ait paketleri filtrelemesini söyler. Eğer biz 10.3.10.0 network’üne ait tüm host’lardan gelecek paketlerin filtrelenmesini istiyorsak o zaman aşagidaki komutu kullanmalıyız.

RouterA(config)#access-list 20 deny 10.3.10.0 0.0.0.255

Eger biz 10.0.0.0 network’üne ait tüm host’lardan gelecek paketlerin filtrelenmesini istiyorsak o zaman da aşagıdaki komutu kullanmalıyız.

RouterA(config)#access-list 20 deny 10.3.10.0 0.255.255.255

Oluşturdugumuz access list’i router’ın istediğimiz interface’ine inbound veya outbound olarak ilişkilendirmeye sıra geldi. Bunun için interface konfigürasyon moduna geçip “ip access-group” komutunu kullanıyoruz. Aşağıdaki örnekte 15 nolu bir standart IP access list’i oluşturulduktan sonra bu access list’e iki tane kayıt giriliyor.

lk kayıt 10.3.10.0 network’ünden gelecek paketlerin router tarafından yönlendirilmemesini istiyor. Ardından access list’e eklenen ikinci kayıt ise tüm paketlere izin veriyor. Eğer bu son satırı girmezsek ilk satıra uymayan tüm oaketler router tarafından yok edilecektir (Zaten uyan pekatleri de yönlendirme yaptırmadığımız için router hiçbir yönlendirme işlemi yapmayacaktır). Burada bu iki kaydın access list’e yazılış sırasına dikkat edin. Bu iki kaydın yerleri değişirse uygulamaya çalıştığınız access list hiçbir işe yaramayacaktır. Bu kayıtlar girildikten sonra bu access list belirlediğimiz uygun bir arayüze outbound olarak ilişkilendirilmiştir.

RouterA(config)#access-list 15 deny 10.3.10.0 0.0.0.255
RouterA(config)#access-list 15 permit any
RouterA(config)#int e0
RouterA(config-if)#ip access-group 15 out

0
0
0
Yorum Yaz