Настройка контекстных списков доступа

ACL (Access Control List) — это набор текстовых выражений, которые что-то разрешают, либо что-то запрещают. Обычно ACL разрешает или запрещает IP-пакеты, но помимо всего прочего он может заглядывать внутрь IP-пакета, просматривать тип пакета, TCP и UDP порты. Также ACL существует для различных сетевых протоколов (IP, IPX, AppleTalk и так далее).

В основном применение списков доступа рассматривают с точки зрения пакетной фильтрации, то есть пакетная фильтрация необходима в тех ситуациях, когда у вас стоит оборудование на границе Интернет и вашей частной сети и нужно отфильтровать ненужный трафик. Вы размещаете ACL на входящем направлении и блокируете избыточные виды трафика.

Функционал ACL состоит в классификации трафика, нужно его проверить сначала, а потом что-то с ним сделать в зависимости от того, куда ACL применяется. ACL применяется везде, например:

• — На интерфейсе: пакетная фильтрация
• — На линии Telnet: ограничения доступа к маршрутизатору
• — VPN: какой трафик нужно шифровать
• — QoS: какой трафик обрабатывать приоритетнее
• — NAT: какие адреса транслировать

Сами ACL создаются отдельно, то есть это просто некий список, который создается в глобальном конфиге, потом он присваивается к интерфейсу и только тогда он и начинает работать. Необходимо помнить некоторые моменты, для того, чтобы правильно настроить списки доступа:

• — обработка ведется строго в том порядке, в котором записаны условия;
• — если пакет совпал с условием, дальше он не обрабатывается;
• — в конце каждого списка доступа стоит неявный deny any (запретить всё);
• — расширенные ACL нужно размещать как можно ближе к источнику, стандартные же как можно ближе к получателю;
• — нельзя разместить более 1 списка доступа на интерфейс, на протокол, на направление;
• — ACL не действует на трафик, сгенерированный самим маршрутизатором;
• — для фильтрации адресов используется WildCard маска.
• — permit: разрешить;
• — deny: запретить;
• — remark: комментарий о списке доступа;
• — address: запрещаем или разрешаем сеть;
• — any: разрешаем или запрещаем всё;
• — host: разрешаем или запрещаем хосту;
• — source-wildcard: WildCard маска сети;
• — log: включаем логгирование пакеты проходящие через данную запись ACL;
• — Расширенный список доступа:
• — protocol source: какой протокол будем разрешать или закрывать (ICMP, TCP, UDP, IP, OSPF и т. д);
• — deny: запретить;
• — operator:

A.B.C.D — адрес получателя.

any — любой конечный хост.

eq — только пакеты на этом порте.

gt — только пакеты с большим номером порта.

host — единственный конечный хост.

lt — только пакеты с более низким номером порта.

neq — только пакеты не на данном номере порта.

range — диапазон портов.

• — port: номер порта (TCP или UDP), можно указать имя;
• — established: разрешаем прохождение TCP-сегментов, которые являются частью уже созданной TCP-сессии;

Прикрепение к интерфейсу:

• — in: входящее направление;
• — out: исходящее направление;

Именованные списки доступа:

• — standard: стандартный ACL;
• — extended: расширенный ACL;
• — default: установить команду в значение по умолчанию;