Access Lists

Access Lists (ACLs) dienen der Identifikation von Kommunikationsströmen auf Layer 3- (IP-Adressen) und Layer 4-Ebene (Port-Adressen).

Hauptzweck ist das Filtern durch

– Identifizierung anhand der Quelladresse.
– Identifizierung anhand von Quell- und Zieladresse
– Identifizierung anhand von Layer 4 Protokoll, z. B. TCP, UDP etc.
– Identifizierung anhand von Adresse + Service (z. B. Portnummer bei TCP/UDP)

Extended IP Access List: allgemein

Router(config)#        [no] access-list acl-number {permit | deny} protocol source-address [mask] [operator port] dest-address [mask] [operator port] [established] [log]

acl-number:               100-199 oder 2000 bis 2699, eindeutige Nummer der Access Liste
permit:                        Trifft die folgende Bedingung wird das Paket zur Weiterverarbeitung an den nächsten Prozess übergeben.
deny:                           Trifft die folgende Bedingung zu, wird das Paket verworfen.
protocol:                     Layer 3 bzw. 4 Protokoll, für das die Liste angelegt ist. Das Protokoll bestimmt die weitere Listenform.
source-address:        Quelladresse IP Pakets
mask:                         Bitmaske
dest-address:           Zieladresse des IP Pakets
mask:                         Bitmaske
operator-port:         port Angabe für UDP- bzw. TCP-Filter

Operator:
lt „less than“:             weniger, kleiner, <
gt „greater than“:      mehr, größer, >
eq „equal to“:             gleich, =
neq “not equal to”:   ungleich, !=
established:               optionale nur “inbound TCP” Listen; lässt bereits etablierte Kommunikation durch (ACK Bit im TCP Header ist gesetzt)
log:                               erzeugt logging Messages, wenn der Eintrag einen Match erzeugt

 

Extended IP Access List: IP

Router(config)#       access-list acl-number {permit | deny} ip source-address [mask] dest-address [mask] [log]

source-address:       Quelladresse des IP Pakets
mask:                         Bitmaske
dest-address:           Zieladresse des IP Pakets
log:                             erzeugt logging Messages, wenn der Eintrag einen Match erzeugt

Beispiel:
Router(config)# access-list 100 deny ip 10.10.10.0 0.0.0.255 10.10.20.0 0.0.0.255
-> Alle Pakete, die von 10.10.10.0/24 nach 10.10.20.0/24 laufen, werden verworfen

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.