рдпрджрд┐ рдЖрдкрдиреЗ рдмрд╛рд░-рдмрд╛рд░ рдмрдбрд╝реА рдкрд╣реБрдБрдЪ рд╕реВрдЪрд┐рдпреЛрдВ рдпрд╛ рдСрдмреНрдЬреЗрдХреНрдЯ-рд╕рдореВрд╣реЛрдВ рдХреЛ рдЙрдирдореЗрдВ рд╢рд╛рдорд┐рд▓ рдХрд┐рдпрд╛ рд╣реИ, рддреЛ рдЖрдк рд╢рд╛рдпрдж рдкрд╣рд▓реЗ рд╕реЗ рд╣реА рдЖрд╢реНрдЪрд░реНрдпрдЪрдХрд┐рдд рд╣реИрдВ рдХрд┐ рдХреНрдпрд╛ рдХреЛрдИ рдЙрдкрдХрд░рдг рд╣реИ рдЬреЛ рдЖрдкрдХреЛ рдпрд╣ рдирд┐рд░реНрдзрд╛рд░рд┐рдд рдХрд░рдиреЗ рдХреА рдЕрдиреБрдорддрд┐ рджреЗрддрд╛ рд╣реИ рдХрд┐ рдХреНрдпрд╛ рдПрдХ рдПрдХреНрд╕реЗрд╕ рд╕реВрдЪреА рдПрдХ рд╡рд┐рд╢рд┐рд╖реНрдЯ рдкреИрдХреЗрдЬ рдХреЛ рдЫреЛрдбрд╝ рджреЗрдЧреА рдФрд░ рдХреМрди рд╕реА рд▓рд╛рдЗрдиреЗрдВ рдХрд╛рдо рдХрд░реЗрдВрдЧреАред
рдмреЗрд╢рдХ, рдРрд╕реЗ рдЙрдкрдХрд░рдг рдореМрдЬреВрдж рд╣реИрдВ рдФрд░ рдкреВрд░реА рддрд░рд╣ рд╕реЗ рдпрд╛ рдЖрдВрд╢рд┐рдХ рд░реВрдк рд╕реЗ рд╕реВрдЪреАрдмрджреНрдз рд╕рдорд╕реНрдпрд╛рдУрдВ рдХреЛ рд╣рд▓ рдХрд░рддреЗ рд╣реИрдВред рд╣рд╛рд▓рд╛рдВрдХрд┐, рд╡реЗ, рдПрдХ рдирд┐рдпрдо рдХреЗ рд░реВрдк рдореЗрдВ, рдиреЗрдЯрд╡рд░реНрдХ рдкреНрд░рдмрдВрдзрди рдХреЗ рд╢рдХреНрддрд┐рд╢рд╛рд▓реА "рд╣рд╛рд░реНрд╡реЗрд╕реНрдЯрд░" рдХрд╛ рд╣рд┐рд╕реНрд╕рд╛ рд╣реИрдВ, 90% рдХрд╛рд░реНрдпрдХреНрд╖рдорддрд╛ рдЬрд┐рд╕рдореЗрдВ рдЖрдк рд░реБрдЪрд┐ рдирд╣реАрдВ рд░рдЦрддреЗ рд╣реИрдВред
рдмреЗрд╢рдХ, рдХреЛрдИ рднреА рдиреЗрдЯрд╡рд░реНрдХ рдбрд┐рд╡рд╛рдЗрд╕ рдХреЗ рдХрдВрд╕реЛрд▓ рд╕реЗ рд╕реАрдзреЗ рд╡рд┐рд╢рд┐рд╖реНрдЯ рдПрдХреНрд╕реЗрд╕ рд╕реВрдЪреА рд▓рд╛рдЗрдиреЛрдВ рдХреА рдЦреЛрдЬ рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП рдирд┐рдпрдорд┐рдд рдЕрднрд┐рд╡реНрдпрдХреНрддрд┐ рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рдиреЗ рд╕реЗ рдордирд╛ рдХрд░рддрд╛ рд╣реИред рд▓реЗрдХрд┐рди рдпрд╣ рд╡рд┐рдзрд┐ рдмрд╣реБрдд рд╣реА рд╕рддрд╣реА рдкрд░рд┐рдгрд╛рдо рдкреНрд░рджрд╛рди рдХрд░реЗрдЧреАред рдЙрджрд╛рд╣рд░рдг рдХреЗ рд▓рд┐рдП, рдпрд╣ рдПрдХ рдореЗрдЬрдмрд╛рди рдХреЛ рдиреЗрдЯрдорд╛рд╕реНрдХ рдпрд╛ рдкреЛрд░реНрдЯ рдореЗрдВ рдЧрд┐рд░рдиреЗ рд╡рд╛рд▓реЗ рдкреЛрд░реНрдЯ рдХреА рдкрд╣реБрдВрдЪ рдХреЛ рдкреНрд░рджрд░реНрд╢рд┐рдд рдирд╣реАрдВ рдХрд░реЗрдЧрд╛ред рдЗрд╕рдХреЗ рдЕрд▓рд╛рд╡рд╛, рдЗрд╕ рддрд░рд╣ рд╕реЗ рджреЛ рджрд┐рдП рдЧрдП рдиреЛрдбреНрд╕ рдпрд╛ рдиреЗрдЯрд╡рд░реНрдХ рдХреЗ рдмреАрдЪ рд╕рднреА рдореМрдЬреВрджрд╛ рдПрдХреНрд╕реЗрд╕ рдХреЛ рдкреНрд░рджрд░реНрд╢рд┐рдд рдХрд░рдирд╛ рд╕рдВрднрд╡ рдирд╣реАрдВ рд╣реИред рдПрдХ рдЕрдиреБрднрд╡реА рдиреЗрдЯрд╡рд░реНрдХ рд╡реНрдпрд╡рд╕реНрдерд╛рдкрдХ рдРрд╕реЗ рдХрд╛рд░реНрдпреЛрдВ рдХреЗ рд▓рд┐рдП рд╕рд░рд▓ рдкрд╛рд░реНрд╕рд┐рдВрдЧ рдПрдХреНрд╕реЗрд╕ рд╕реВрдЪреА рдХреА рдирд┐рд░рд░реНрдердХрддрд╛ рд╕реЗ рдЕрд╡рдЧрдд рд╣реИред
рджреА рдЧрдИ рдЫреЛрдЯреА рдЙрдкрдпреЛрдЧрд┐рддрд╛ рдХреЗрд╡рд▓ рдЗрд╕рдХреЗ рд▓рд┐рдП рдмрдирд╛рдИ рдЧрдИ рдереА - рдПрдХреНрд╕реЗрд╕-рд▓рд┐рд╕реНрдЯ рд▓рд╛рдЗрдиреЛрдВ рдХреЛ рдЦреЛрдЬрдиреЗ рдХреЗ рд▓рд┐рдП рдЬреЛ рдХреБрдЫ рдиреЗрдЯрд╡рд░реНрдХ рдЯреНрд░реИрдлрд╝рд┐рдХ рдХреЛ рдЕрдиреБрдорддрд┐ рдпрд╛ рдирд┐рд╖реЗрдз рдХрд░рддреЗ рд╣реИрдВ, рдФрд░ рдЗрд╕рд╕реЗ рднреА рдЕрдзрд┐рдХ - рджрд┐рдП рдЧрдП рдмрд┐рдВрджреБрдУрдВ рдХреЗ рдмреАрдЪ рдкрд╣реБрдВрдЪ рд╕реЗ рд╕рдВрдмрдВрдзрд┐рдд рд╕рднреА рд▓рд╛рдЗрдиреЛрдВ рдХреА рдкрд╣рдЪрд╛рди рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдПред
рд╡рд┐рдЪрд╛рд░ рд╕рд░рд▓ рд╣реИ: рдХрд╛рд░реНрдпрдХреНрд░рдо рдкрд╣реБрдВрдЪ рд╕реВрдЪреА рд▓рд╛рдЗрдиреЛрдВ рдХреЛ рдирд┐рд░реНрджрд┐рд╖реНрдЯ рдорд╛рдирджрдВрдб рд╕реЗ рдореЗрд▓ рдЦрд╛рддрд╛ рд╣реИред рдорд╛рдирджрдВрдб рд╕реНрд╡рдпрдВ рдПрдХ рдкрд╣реБрдВрдЪ рд╕реВрдЪреА рд╕реНрдЯреНрд░рд┐рдВрдЧ рдЬреИрд╕рд╛ рджрд┐рдЦрддрд╛ рд╣реИ, рд▓реЗрдХрд┐рди рдмрд┐рдирд╛ рдкрд░рдорд┐рдЯ рдпрд╛ рдЗрдирдХрд╛рд░ рдСрдкрд░реЗрдЯрд░ рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд┐рдП рдмрд┐рдирд╛ред
рдпрджрд┐ рдЖрдк рдирд┐рдпрдорд┐рдд рд░реВрдк рд╕реЗ рдЙрдирдХреЗ рдЕрд╕реНрддрд┐рддреНрд╡ рдХреА рдЬрд╛рдВрдЪ рдХрд┐рдП рдмрд┐рдирд╛ рдиреЗрдЯрд╡рд░реНрдХ рдирд┐рдпрдореЛрдВ рдХреЛ рдПрдХреНрд╕реЗрд╕ рд╕реВрдЪреА рдореЗрдВ рдЬреЛрдбрд╝рддреЗ рд╣реИрдВ, рддреЛ рдПрдХреНрд╕реЗрд╕ рд╕реВрдЪреА рдореЗрдВ рдмрдбрд╝реА рд╕рдВрдЦреНрдпрд╛ рдореЗрдВ рдЕрдирд╛рд╡рд╢реНрдпрдХ рдирд┐рдпрдо рд╣реЛрдВрдЧреЗред рдЗрд╕ рд╕рдорд╕реНрдпрд╛ рдХреЛ рд╣рд▓ рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП, рдкреНрд░реЛрдЧреНрд░рд╛рдо рдПрдХ рдЕрддрд┐рд░реЗрдХ рдкрд╣реБрдВрдЪ рд╕реВрдЪреА рд╡рд┐рд╢реНрд▓реЗрд╖рдг рдХрд╛рд░реНрдпрд╛рддреНрдордХ рд▓рд╛рдЧреВ рдХрд░рддрд╛ рд╣реИред рдЗрд╕рдХреЗ рд╕рд╛рде, рдЖрдк рдЕрдирд╛рд╡рд╢реНрдпрдХ рдирд┐рдпрдореЛрдВ рдХреА рдкрд╣рдЪрд╛рди рдХрд░ рд╕рдХрддреЗ рд╣реИрдВ рдФрд░ рдЙрдкрдХрд░рдг рд╕рдВрд╕рд╛рдзрдиреЛрдВ рдХреЛ рдореБрдХреНрдд рдХрд░ рд╕рдХрддреЗ рд╣реИрдВред
ACL рдореЗрдВ рдСрдмреНрдЬреЗрдХреНрдЯ рд╕рдореВрд╣реЛрдВ рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рддреЗ рд╕рдордп, рдкреНрд░реЛрдЧреНрд░рд╛рдо рдХреЛ рдЙрдирдХреА рд░рдЪрдирд╛ рдХреЛ рд╕реНрдерд╛рдирд╛рдВрддрд░рд┐рдд рдХрд░рдиреЗ (рдХреЙрдкреА) рдХрд░рдиреЗ рдХреА рдЖрд╡рд╢реНрдпрдХрддрд╛ рд╣реЛрддреА рд╣реИред рдЕрдВрддрд┐рдо рдПрд╕реАрдПрд▓ рдореЗрдВ, рдРрд╕реЗ рд╕рдореВрд╣реЛрдВ рдХреЛ рдкреНрд░рд╛рдердорд┐рдХ рдирд┐рдпрдореЛрдВ рджреНрд╡рд╛рд░рд╛ рджрд░реНрд╢рд╛рдпрд╛ рдЬрд╛рдПрдЧрд╛ред
рдХрд╛рд░реНрдпрдХреНрд░рдо рдЗрдВрдЯрд░рдлрд╝реЗрд╕
рдЪрд┐рддреНрд░ 1 рдореБрдЦреНрдп рдЦрд┐рдбрд╝рдХреА
рдЪрд┐рддреНрд░ 1 рдирд┐рдореНрдирд▓рд┐рдЦрд┐рдд рддрддреНрд╡реЛрдВ рдХреЗ рд╕рд╛рде рдореБрдЦреНрдп рдХрд╛рд░реНрдпрдХреНрд░рдо рд╡рд┐рдВрдбреЛ рджрд┐рдЦрд╛рддрд╛ рд╣реИ:
1 тАФ access-
2 тАФ object-
3 тАФ access-
4 тАФ access-
5 тАФ
6 тАФ
7 тАФ
8 тАФ
9 тАФ
10 тАФ ACL
11 тАФ ACL
12 тАФ ACL
13 тАФ ACL
14 тАФ (6)
15 тАФ (6)
16 тАФ
17 тАФ
18 тАФ ACL ICMP
19 тАФ ACL CLI
20 тАФ object-, ACL
21 тАФ , ICMP
22 тАФ ACL
access-list 1. object-, 2. ACL object- (тАЬshow running-configтАЭ, тАЬshow startup-configтАЭ), тАЬshow access-listsтАЭ, тАЬshow objectтАЭ.
тАЬshow running-configтАЭ, 1:
ip access-list extended ACL
permit icmp host 172.16.0.6 host 172.21.0.6
permit ip host 172.16.0.6 host 172.21.0.1
permit tcp host 192.168.8.15 range 1024 65534 host 192.168.66.47
permit tcp 192.168.8.0 0.0.0.255 eq 22 1521 3389 addrgroup ADMIN_BSD
permit tcp host 192.168.8.12 eq 1521 192.168.83.20 0.0.0.1
access-list тАЬshow access-listsтАЭ:
Extended IP access list ACL
10 permit icmp host 172.16.0.6 host 172.21.0.6
20 permit ip host 172.16.0.6 host 172.21.0.1 (32 matches)
30 permit tcp host 192.168.8.15 range 1024 65534 host 192.168.66.47
40 permit tcp 192.168.8.0 0.0.0.255 eq 22 1521 3389 addrgroup ADMIN_BSD (1 match)
50 permit tcp host 192.168.8.12 eq 1521 192.168.83.20 0.0.0.1
тАЬshow running-configтАЭ, 2:
object-group ip address ADMIN_BSD
host-info 10.237.92.131
host-info 10.22.145.132
host-info 10.22.145.136
host-info 10.22.145.141
тАЬshow object-groupтАЭ:
IP address object group ADMIN_BSD
host 10.237.92.131
host 10.22.145.132
host 10.22.145.136
host 10.22.145.141
object-.
тАЬshow running-configтАЭ:
object-group network Servers
host 10.15.12.5
host 10.15.5.11
host 10.15.4.2
host 10.15.7.34
object-group service Ports1
tcp-udp eq domain
tcp-udp eq 88
udp range 3268 3269
tcp gt 49151
тАЬshow object-groupтАЭ:
Network object group Servers
host 10.15.12.5
host 10.15.5.11
host 10.15.4.2
host 10.15.7.34
Service object group Ports1
tcp-udp eq domain
tcp-udp eq 88
udp range 3268 3269
tcp gt 49151
:
object-group network zzz
5.5.5.0 255.255.255.0
host 6.6.6.6
object-group network yyy
host 3.3.3.3
group-object zzz
object-group network xxx
host 1.1.1.1
group-object zzz
group-object yyy
permit udp any object-group xxx eq 21
permit tcp object-group xxx host 7.7.7.7 eq ftp
permit tcp object-group xxx object-group xxx eq 22
permit tcp object-group yyy object-group xxx eq ftp
ACL object- 3. access-list ( object-) 4. , 22. .
, object-, тАШ0тАЩ (.2).
.2 object-
access- , 19, , access-. access- object- 20 (.3).
.3 object-
access- . .
, access- , 5 7. 9. 11. access- 10. тАЬ тАЭ 11 ACL, .
1. .
, 192.168.1.2 TCP 1521 192.168.2.2 :
ip access-list extended ACL
10 permit tcp 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 range 1521 1522
20 permit tcp host 192.168.1.2 any
30 permit tcp host 192.168.1.3 any eq 1521
access- 1 3. 5 :
tcp host 192.168.1.2 gt 1023 host 192.168.2.2 eq 1521
7 тАЬEnterтАЭ.
9 :
1: 10 permit tcp 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 range 1521 1522
тАЬ1:тАЭ ACL, тАЬ10тАЭ тАУ ACL. тАЬ тАЭ , ACL , . 11. ( ) тАЬ тАЭ, ACL.
2. , .
, , 192.168.2.0 /24 SSH (TCP 22). :
ip access-list extended ACL
10 permit tcp 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 range 1521 1522
20 permit tcp any 192.168.2.0 0.0.0.3 eq 22 3389
30 permit tcp host 192.168.1.3 host 192.168.2.254
40 permit tcp host 192.168.1.10 any
access- 1 3.
17 тАЬ src dstтАЭ. ACL, IP- , .
5 :
tcp any gt 1023 any eq 22
7 тАЬEnterтАЭ.
9 :
11. ( ) тАЬ тАЭ, ACL. тАЬ?тАЭ .
3. , .
, 192.168.1.10 192.168.2.254 ACL:
ip access-list extended ACL
10 permit tcp 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 range 1521 1522
20 permit tcp any 192.168.2.0 0.0.0.3 eq 22 3389
30 permit tcp host 192.168.1.3 host 192.168.2.254
40 permit tcp host 192.168.1.10 any
access- 1 3.
17 тАЬ src dstтАЭ.
5 :
ip host 192.168.1.10 host 192.168.2.254
, access-, ACL . , ACL . (8), , тАЬ тАЭ.
8 тАЬCtrl-EnterтАЭ.
9 :
11. ( ) тАЬ тАЭ, ACL. тАЬ?тАЭ .
17 тАЬ src dstтАЭ.
ICMP . IP ICMP. ICMP , ICMP access-. ICMP 18.
( 6)
(6) . , , . ( ) тАЬShift-EnterтАЭ. . 7 (Enter) 8 (Ctrl-Enter). 15 . . 14 .
( 13)
access-list, 4, . (13) (. . 4).
.4
1-7 тАФ
8 тАФ
9 тАФ
10 тАФ object-
.
:
1 permit udp 192.168.8.0 0.0.0.255 host 192.168.38.24 eq syslog
2 permit tcp 192.168.8.0 0.0.0.255 host 192.168.38.23 eq 1514
3 permit tcp 192.168.8.0 0.0.0.255 host 192.168.38.24 eq 1514
4 permit tcp 192.168.8.0 0.0.0.255 host 192.168.38.23 eq 4041
5 permit tcp 192.168.8.0 0.0.0.255 host 192.168.12.26
6 permit ip 192.168.8.0 0.0.0.255 192.168.41.0 0.0.0.255
7 permit ip 192.168.8.0 0.0.0.255 host 192.168.41.31
IP , , 5 1. 5.
.5
. .
10 ACL object-. object- . . , object-, ACL. object- ACL , .
ACL:
10 permit tcp 192.168.8.0 0.0.0.255 eq 1521 addrgroup Empl_Center
20 permit udp 192.168.5.0 0.0.0.255 host 10.232.202.18
30 permit udp 192.168.8.0 0.0.0.255 host 192.168.7.34 eq ntp domain
40 permit tcp host 192.168.8.21 addrgroup HB_WEB_DMZ eq 12040 12060
50 permit tcp 192.168.8.0 0.0.0.255 eq 1521 host 10.237.49.254
object-:
object-group ip address Empl_Center
host-info 10.237.49.100
host-info 10.237.49.6
host-info 10.237.130.15
object-group ip address HB_WEB_DMZ
host-info 10.232.202.12
host-info 10.232.202.16
host-info 10.232.202.19
( тАЬdst addrтАЭ) (.6):
.6 object-.
тАЬ0тАЭ , object-. , 20 40.
object- ( 10). (.7):
.7 object-.
ACL .
ACL, object-, , object-. ACL object- , .
( 12)
тАЬтАЭ (12) access-. access- . access-, - (тАЬdenyтАЭ тАЬpermitтАЭ ).
, ACL:
10 permit icmp any any
20 permit tcp host 10.15.2.11 eq 1521 host 10.15.1.10
30 deny tcp 10.15.2.0 0.0.0.255 10.15.0.0 0.0.31.255
40 permit udp 10.15.2.0 0.0.0.255 host 10.19.9.232
50 permit udp 10.15.2.0 0.0.0.255 host 10.19.9.120 eq syslog
60 permit tcp host 10.15.2.11 eq 1521 host 10.15.7.11
( 3) тАЬтАЭ (12). (. 8):
.8
тАЬтАЭ , (. 9):
.9
тАШтАЩ (.8), , , .
access-list:
10 permit icmp any any
20 permit tcp host 192.168.1.10 host 192.168.2.20 eq 22
30 permit tcp host 192.168.1.10 host 192.168.2.20
40 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
ACL :
.10
, , ACL. . ( ) .
тАЬCtrlтАЭ, (.11):
.11
1 тАФ
2 тАФ
3 тАФ
2 3. , 3 4. (3). , . 1 ( ) :
- тАЬC тАЭ. 1 ;
- тАЬ тАШnoтАЩтАЭ. тАШnoтАЩ . . ACL;
- тАЬ тАШnoтАЩ тАЭ. тАШnoтАЩ . ;
- тАЬ тАШnoтАЩ , тАЭ. , , . . ACL . ;
- тАЬ тАЭ. .
access-:
1 permit tcp any host 192.168.2.20 eq 22
2 permit tcp host 192.168.1.10 host 192.168.2.20 eq 22
3 permit tcp host 192.168.1.10 any eq 22
4 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
(.12) 2 :
- тАЬCtrlтАЭ;
- , тАЬEnterтАЭ.
.12 .
().
, access-, object-, , .. ACL . , (.13):
.13 .
тАЬpermitтАЭ тАЬdenyтАЭ ACL . ACL . , тАЬdenyтАЭ. , ACL ACL.
( 21)
21 TCP UDP, ICMP- (.14).
.14 ICMP.
exe-:
/ h, /?, / help - call start рдкреИрд░рд╛рдореАрдЯрд░ рдорджрдж
/ l (rus) - рднрд╛рд╖рд╛
/ рдПрдирдПрдо рдХрд╛ рдЪрдпрди рдХрд░реЗрдВ - "netmask" рдореЛрдб
/ pm (рдФрд░, рдпрд╛) - рдкрддрд╛ рдкрддрд╛ рдорд┐рд▓рд╛рди рдореЛрдб
/ Skipicmp рд╕рдХреНрд╖рдо рдХрд░реЗрдВ - ICMP рдХреЛ рдЕрдирджреЗрдЦрд╛ рдХрд░рддреЗ рд╕рдордп "рд╕рдХреНрд╖рдо рдХрд░реЗрдВ" рдЪреБрдиреЗрдВ рдЖрдВрд╢рд┐рдХ рдореИрдЪ
рд╕реНрд░реЛрдд рд▓рд┐рдВрдХ