japanese site
온라인강좌책메일다운로드동아리쇼핑기술지원기업정보갤러리동영상 블로그
『신개념 4단계 리눅스기술지원 시스템 공개』

※ 『무료 리눅스 배포판 배송서비스』 ※

 
Catalyst 3560 ACL(deny UDP)
조회 : 11,496  


Catalyst 3560 ACL(deny UDP)

 

1. ACL 은무엇인가?

* Access Control List : 접근제어항목
* 네트워크(서브넷, IP 주소)를 정의하거나, 정의한 내용을 근거로 트래픽을 제어할때사용함
* Permit / Deny 두가지 Command를 사용함
* 사용용도 : 필터링, 방화벽, 트래픽 정의
* 종류 : Standard, Extended, Named Reflective, Dynamic, Mac, VLAN 등
* Layer 4 계층 까지 Fltering이 가능함.

2. ACL vs IPtables

* ACL의 용어 개념상 IPtales는 ACL이다. 라우터(스위치)에서 ACL은 access-list 정책을 말하며,
 이는 IPtables 와 대부분 동일한 기능을 가지고 있다.

* 다른점
Access-list : 대역폭 조절이가능
Iptables : 동일 패킷에 대한 접속 제한등을 통해syn 공격방어 , 모듈을 통한 추가 방어기능 을 활성화 할수 있다.
### chains to DROP too many SYN-s ######
/sbin/iptables -N syn-flood
/sbin/iptables -A syn-flood -m limit --limit 100/second --limit-burst 150 -j RETURN
/sbin/iptables -A syn-flood -j LOG --log-prefix "SYN flood: "
/sbin/iptables -A syn-flood -j DROP

3. ACL의 기본정책

access-list는 윗줄부터 하나씩 차례로 수행된다.

access list의 맨 마지막 line에 "permit any"를 넣지 않을 경우는
default로 어느 access list와도 match 되지 않은 나머지 모든
address 는 deny 된다 => 전부차단된다!!

access list의 새로운 line 은 항상 맨 마지막으로 추가되므로
access-list line 의선택적 추가(selective add)나 제거(remove)가 불가능하다

interface에 대한 access list의 정의(define)가 되지 않은 경우
(즉, interface에 access-group 명령이 들어있지 않은 경우) 결과는 permit any 가 된다.

4. Standard Access List

route-map 등 다른 필터링을 사용하여 트래픽을 통제할 대상을 지정할때 사용
범위 : 1 ~ 99
특징 : Source Address를 보고 트래픽을 통제
형식
   * access-list [1 ~ 99] [Permit / Deny] [Source address] [Source address W/M]
   * 인터페이스 적용 : ip access-group [access-list-number] {in | out}

EX) 출발지 주소가 10.1.1.0 인 트래픽은 20.1.1.0 / 24 네트워크로 통신할수 없다.
10.1.1.0 / 24                                                  20.1.1.0 / 24
R1 [s0/1] ----------- [s 0/0] R2 [s0/1] --------- [s0/1] R3
                            [Fa 1/0] 30.1.1.0 / 24

R2
access-list 10 deny 10.1.1.0 0.0.0.255
access-list 10 permit any
!
interface serial 0/1
ip access-group 10 out
!

5. Extended Access List

스탠더드 액세스 리스트는 출발지 주소만을 제어하는 반면,
익스텐디드 액세스 리스트는 출발지 주소와 목적지 주소 모두를 제어

스탠더드 액세서 리스트는 전체 TCP/IP에 대한 제어만을 하는 반면,
익스텐디드 액세스 리스트는 ip, tcp, udp, icmp 등 특정 프로토콜을 지정해서 제어할 수 있다

스탠더드 액서스 리스트는 1~99의 숫자를 Access-list 번호로 사용하고,
익스텐디드 액세스 리스트는 100~199의 숫자를 Access-list 번호로 사용한다.

* 형식 : access-list [100 ~ 199] [Permit / Deny] [Protocol Type][Source address] [Source address W/M] [Destination address] [Destination address W/M] eq [Port number]

EX1) R1의 Fa0/0 에 FTP Server 192.168.0.11 이 존재하고 있다. R1은 192.168.1.0 / 24 네트워크 트래픽이 Telnet 접속하는것을 차단하려고 한다.이외의 나머지 모든 트래픽은 허용된다.

access-list 100 deny tcp 192.168.1.0 0.0.0.255 host 210.114.75.11 eq 23 access-list 100 permit ip any any !

 

6. Catalyst 3560 ACL 적용

Vlan300 에 있는 192.168.1.242 서버의 80번포트로 들어오는 UDP 차단하기

[root@sus100 ~]# telnet 111.111.111.111(catalyst 3560 스위치)
Trying 111.111.111.111...
Connected to 111.111.111.111 (111.111.111.111).
Escape character is '^]'.
User Access Verification
Password:
Switch>en
Password:
Switch#conf t
Enter configuration commands, one per line.? End with CNTL/Z.
Switch(config)#ip access-list extended UDP-DENY
Switch(config-ext-nacl)#deny udp any host 192.168.1.242 eq 80
Switch(config-ext-nacl)#permit ip any any
Switch(config)#interface vlan 300
Switch(config)#ip access-group UDP-DENY out

 

 

 


[원글링크] : https://www.linux.co.kr/home2/board/subbs/board.php?bo_table=lecture&wr_id=1653


이 글을 트위터로 보내기 이 글을 페이스북으로 보내기 이 글을 미투데이로 보내기

 
(주) 수퍼유저

 
   
 


『신개념 4단계 리눅스기술지원 시스템 공개』

CentOS 리눅스 전문서적 국내최초출시

 
회사소개 | 보도기사 | 채용안내 | 광고안내 | 이용약관 | 개인정보취급방침 | 책임한계와 법적고지 | 불편사항 신고하기 | 사이트맵
ㅇ 서울 : 서울특별시 강남구 노현로79길 66, 402호(역삼동,청송빌딩)  ㅇ 부산 : 부산광역시 해운대구 우동 1470 에이스하이테크21 914호
ㅇ 대표 : 1544-8128 ㅇ부산직통 : 051-744-0077 ㅇ서울직통 : 02-856-0055 ㅇ FAX : 02-6280-2663
ㅇ 사업자번호 : 128-86-68239 ㅇ 통신판매업 신고번호 : 2013-부산금정-0035호 ㅇ 개인정보책임자 : 이재석
ㅇ 상호명 : (주) 수퍼유저 ㅇ 대표자 : 박성수
Copyright ⓒ (주)수퍼유저. All rights reserved.

 아 이 디
 비밀번호
회원 가입 | 비밀번호 찾기

블로그~
 
▷ 네트웍
SMS
MRTG
개념및 프로토콜
네트웍 장비
ACL
책제목
리눅스서버관리실무바이블v3.0


저자 박성수
페이지수 2,032 pages
펴낸곳(주)수퍼유저

리눅스 서버 구축 및 관리에 필요한 거의 모든 부분과 전반적인 실무 기법들을 다루고 있음
책제목
리눅스보안관리실무(2/E)


저자홍석범
페이지수 820 pages
펴낸곳(주)수퍼유저

리눅스 보안에 관련된 내용을 종합적으로 쓴 책. 저자의 명성 그대로 보안관련의 모든 내용이 그대로 담겨져 있다.