|
|
Router Access-Lists (erişim listeleri) Bölüm 2
|
|
|
Ana sayfa
Kütüphane
Dokümanlar
Birinci bölümü okumadıysanız: Router Access-Lists (erişim listeleri) Bölüm 1
Access-Lists - Bölüm 2
Aylar sonra tekrar merhaba , kısa sürede arkası gelecek dediğim yazıya aylar sonra devam etmekte editörler grubunu biraz kızdırdı galiba, bu sorumsuzluk için hepsinden özür diliyorum.
Eski aşkım , sadık yarim işime dönüyor ve size access-list`i geri kalan kısmını açıklamaya devam ediyorum.
En son basic access-list ler nasıl oluşturulur , sisteme nasıl entegre edilir konularında yazmıştım..
Bu gün ise access-listleri biraz daha genişleteceğim…
Cisco 11 farkli access listi ayırmak için numaralar ile access-listleri gruplamıştır,
Buna göre:
Access List Numbers Access List Number Type
1-99 IP standard access list
100-199 IP extended access list
1000-1099 IPX SAP access list
1100-1199 Extended 48-bit MAC address access list
1200-1299 IPX summary address access list
1300-1999 IP standard access list (expanded range)
200-299 Protocol type-code access list
2000-2699 IP extended access list (expanded range)
300-399 DECnet access list
400-499 XNS standard access list
500-599 XNS extended access list
600-699 AppleTalk access list
700-799 48-bit MAC address access list
800-899 IPX standard access list
900-999 IPX extended access list
Cisco güvenlik uygulamalarında genellikle standart ve extended access-listler kullanılır.
Extended Access Lists
Standart access-list lerde , bir ip paketinin kaynak ip sine bakarak karar verilen bir mekanizma vardı , extended access-list lerde ise hem kaynak ,hemde hedef ip yada port larına bakarak, kontrol yapılır.
Örnek:
Router(config)# access-list 102 deny tcp 171.69.198.0 0.0.0.255 eq telnet 172.20.52.0 0.0.0.255
Router(config)# access-list 102 permit tcp any any
Bu örnekte, 171.69.198.0/24 network’ünün , 172.20.52.0/24 network’üne telnet connection kurması engellenmiştir.
Sistemdeki access-listlerin görüntülenmesi icin .
Router# show access-lists
Komutunu kullanabiliriz.
Standart ve Extended access-listlere isim vererek de oluşturabiliriz.
Örnek:
Standart:
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#ip access-list standard olympos
Router(config-std-nacl)#permit host 212.98.228.194
Router (config-std-nacl)#deny any
Extended:
Router(config)#ip access-list extended olympos-extended
Router(config-ext-nacl)#permit host 212.98.228.194 eq 23 host 195.155.254.23
Router(config-ext-nacl)#deny ip any any
İlk örnekte , sadece 212.98.228.194 `e tüm iletişim kuramlari için izin veriyoruz. 2. örnek te ise sadece 212.98.228.194 nolu sunucunun , 195.155.254.23 nolu sunucuya sadece telnet protokolü ile ulaşmasına izin vermiş oluyoruz.
Access-list leri terminal ve/ve ya arabirimlere uygulamak:
Bu iki arabirim, için sadece komut farkı bulunmaktadır, komutların işlevleri aynıdır.
Terminal Line:
Router(config-line)#access-class verdigimiz access list numarasi in | out
Herhangi bir interface:
Router(config-if)#access-group verdigimiz access list numarasi yada ismi in|out
Yukarıda kullandığımız access-list lerde (erişim listelerinde) sadece router’ımızın güvenliği konusunda aldığımız önlemler için gerekli olan kısımlarını anlatmaya çalıştım, cisco da access-listler daha değişik işlemlerde kullanılabilir. Burda anlattıklarımız sadece basit güvenlik önlemleridir.
Saygılarımla,
Mehmet Uğursoy |
|
|
|
