Birinci bölümü okumadıysanız: Router Access-Lists (erişim listeleri) Bölüm 1

Access-Lists - Bölüm 2

Aylar sonra tekrar merhaba , kısa sürede arkası gelecek dediğim yazıya aylar sonra devam etmekte editörler grubunu biraz kızdırdı galiba, bu sorumsuzluk için hepsinden özür diliyorum.

Eski aşkım , sadık yarim işime dönüyor ve size access-list`i geri kalan kısmını açıklamaya devam ediyorum.
En son basic access-list ler nasıl oluşturulur , sisteme nasıl entegre edilir konularında yazmıştım..
Bu gün ise access-listleri biraz daha genişleteceğim…

Cisco 11 farkli access listi ayırmak için numaralar ile access-listleri gruplamıştır,

Buna göre:

Access List Numbers Access List Number Type
1-99 IP standard access list
100-199 IP extended access list
1000-1099 IPX SAP access list
1100-1199 Extended 48-bit MAC address access list
1200-1299 IPX summary address access list
1300-1999 IP standard access list (expanded range)
200-299 Protocol type-code access list
2000-2699 IP extended access list (expanded range)
300-399 DECnet access list
400-499 XNS standard access list
500-599 XNS extended access list
600-699 AppleTalk access list
700-799 48-bit MAC address access list
800-899 IPX standard access list
900-999 IPX extended access list

Cisco güvenlik uygulamalarında genellikle standart ve extended access-listler kullanılır.

Extended Access Lists

Standart access-list lerde , bir ip paketinin kaynak ip sine bakarak karar verilen bir mekanizma vardı , extended access-list lerde ise hem kaynak ,hemde hedef ip yada port larına bakarak, kontrol yapılır.

Örnek:

Router(config)# access-list 102 deny tcp 171.69.198.0 0.0.0.255 eq telnet 172.20.52.0 0.0.0.255
Router(config)# access-list 102 permit tcp any any

Bu örnekte, 171.69.198.0/24 network’ünün , 172.20.52.0/24 network’üne telnet connection kurması engellenmiştir.

Sistemdeki access-listlerin görüntülenmesi icin .

Router# show access-lists

Komutunu kullanabiliriz.

Standart ve Extended access-listlere isim vererek de oluşturabiliriz.

Örnek:

Standart:

Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#ip access-list standard olympos
Router(config-std-nacl)#permit host 212.98.228.194
Router (config-std-nacl)#deny any

Extended:

Router(config)#ip access-list extended olympos-extended
Router(config-ext-nacl)#permit host 212.98.228.194 eq 23 host 195.155.254.23
Router(config-ext-nacl)#deny ip any any

İlk örnekte , sadece 212.98.228.194 `e tüm iletişim kuramlari için izin veriyoruz. 2. örnek te ise sadece 212.98.228.194 nolu sunucunun , 195.155.254.23 nolu sunucuya sadece telnet protokolü ile ulaşmasına izin vermiş oluyoruz.

Access-list leri terminal ve/ve ya arabirimlere uygulamak:

Bu iki arabirim, için sadece komut farkı bulunmaktadır, komutların işlevleri aynıdır.

Terminal Line:

Router(config-line)#access-class verdigimiz access list numarasi in | out

Herhangi bir interface:

Router(config-if)#access-group verdigimiz access list numarasi yada ismi in|out

Yukarıda kullandığımız access-list lerde (erişim listelerinde) sadece router’ımızın güvenliği konusunda aldığımız önlemler için gerekli olan kısımlarını anlatmaya çalıştım, cisco da access-listler daha değişik işlemlerde kullanılabilir. Burda anlattıklarımız sadece basit güvenlik önlemleridir.

Saygılarımla,

Mehmet Uğursoy

__________________________