1、 Router(config)#access-list (100-199)permit | deny protocol 原地址 反掩码 目标地址 反掩码 operator operan Operator:lt-小于;gt大于;eq等于;neq-不等于 Protocol:TCP;UDP;IP;ICMP1. 允许网络192.168.1.0/24访问网络192.168.2.0/24的ip流量通过。而拒绝其他的任何流量Router(config)#access-list 100 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 Router(c
2、onfig)#access-list 100 deny ip any any2. 拒绝网络192.168.1.0/24访问FTP服务器192.168.2.2。而其允许他的任何流量Router(config)#access-list 101 deny tcp 192.168.1.0 0.0.0.255 host 192.168.2.2 eq 21Router(config)#access-list 101 permit ip any any3.禁止192.168.1.0/24中的主机ping服务器192.168.2.2 而允许其他任何流量Router(config)#access-list 11
3、9 deny icmp 192.168.1.0 0.0.0.255 host 192.168.2.2 echoRouter(config)#access-list 119 permit ip any any4.将ACL应用到端口Router(config)# ip access-group 101 in|out5.查看 show access-list4.命名访问控制列表 1. Router(config)#ip access-list standard |extended access-list-name2.标准命名ACL:Router(config-std-nacl)#【seq-Num】
4、permit|denysource 【source-vildcard】 3.扩展命名ACL: Router(config-std-nacl)#【seq-Num】 permit|deny Protocol src src-vildcard dst dst-vildcard 【operator operan】 如:允许来自主机192.168.1.1/24和192.168.2.6/24的流量通过,而拒绝其他的流量通过Router(config)#ip access-list ciscoRouter(config-std-nacl)#15 permit host 192.168.2.6Router(c
5、onfig-std-nacl)#permit host 192.168.1.14.删除 Router(config)# no ip access-list access-list-name 或Router(config-std-nacl)#no 155.将ACL应用到接口 Router(config-if)#ip access-group name in|out5.定时访问控制列表1.定义时间范围的名称 Router(config)# time-range name2.指定时间范围何时生效 1).定义一个时间周期 Router(config-time-range)#periodic days-
6、of-the-week hh:mm to 【days-of-the-week】hh:mm参数days-of-the-week and month取值说明MonthMonday星期一January一月Tuesday星期二February二月Wednesday星期三March三月Thursday星期四April四月Friday星期五May五月Saturday星期六June六月Sunday星期日July七月Daily、每天Augest八月weekdays平日(一到五)September九月Weekend周末(六和七)October十月November十一月December十二月 2).定义一个决定时
7、间Router(config-time-range)#absolute start hh:mm day month year end hh:mm day month year 2.在扩展ACL中应用时间范围 Router(config)#access-list num permit|denyprotocol src src-vildcard dst dst-vildcard 【operator operan】3.将ACL应用到接口 Router(config-if)#ip access-group num in|out应用:在每周正常工作时间,允许所有IP流量通过网络 Router(confi
8、g)#time-range worktime Router(config-time-range)#periidic weekdays 8:30 to 17:30 Router(config)#access-list 101 permit ip any any time-range worktime Router(config)#int f0/x Router(config-if)#ip access-group 101 in 在2009年5月10日8:30 dao 20日18:00这时间段,允许所有的ip流量通过。 Router(config)# time-range mytime Route
9、r(config-time-range)#absolute start 8:00 10 may 2009 end 18:00 20 may 2009 Router(config)#access-list 100 permit ip any any time-range mytime6.定义顺序和应用端口规则 1.顺序 1.确定源地址和目标地址1. x x x x x x x x y x表示拒绝 y 表示允许2.y y y y y yy y y x 2.确定顺序 3.确定端口和协议2.端口应用规则 1.一般标准ACL应用在离目的地最近的路由器上的(in的方向上)。 2.一般扩展ACL应用在离源地
10、址最近的路由器上。7.具体应用配置iptables防火墙1.iptabels的规则表、链结构1.规则表 Filter表:包含三个规则链:INPUT FORWARD OUTPUT 主要对数据包进行过滤, 内核模块:iptables_filter Nat 表: 包含三个规则链:PREROUTIGN POSTROUTING OUTPUT 主要用于修改数据包的IP地址、端口号iptables_nat Mangle 表:PREROUTIGN POSTROUTING INPUT OUTPUT 主要用于修改数据包的TOS (Type of Service 服务类型)。TTL、iptables_magle R
11、aw 表:PREROUTIGN OUTPUT 主要用于决定数据包是否被状态跟踪机制,并且优先于其他表iptables_raw2.规则链 INPUT:当接收到访问防火墙机地址的数据包(入站)时,应用此规则 FORWARD:当防火墙本机向外发送数据包(出站)时,应用此链的规则、 OUTPUT:当接收到需要通过防火墙发送给其他地址的数据包(转发)时 PREROUTIGN:在对数据包做路由选择之前,应用 POSTROUTING:在对数据包做路由选择之后,应用此规则。其中,INTPUT 和OUTPUT多应用在“主机防火墙中”针对服务器本身进行数据安全控制 PREROUTIGN POSTROUTING F
12、ORWARD 应用在“网络防火墙”,特别时网关时。2.管理iptables规则 1.基本格式:iptables -t 表名 命令选项 链名 条件匹配 -j 目标动作或跳转iptables命令的管理控制选项作用选项名功能及特点添加A在指定的末尾添加(-append)一条新的规则插入I在指定链中插入一条规则,默认为开头插入删除清空F清空指定链的所有规则,若未指定链,则清空所有链的规则D删除(-delete)指定链中的某一条规则,按序号或内容显示查看L列出指定链中的所有规则,若未指定链,则列出表中的所有链的规则n使用数字(-numeric)显示输出结果,如主机的IP-v查看规则列表显示详细信息(-verbose)-V查看iptables 命令工具版本的信息-h查看帮助信息-line-numbers查看规则列表时,同时显示规则在链中的顺序号修改R修改。替换指定链中的某一条规则,可按序号或内容P设置指定的默认策略(-policy)用户自定义N新建(-new-chain)一条用户自定义的规则链-X删除指定表中用户自定义的规则链查看filter表中INPUT链中的所有规则,同时显示各条规则的序号Iptables
copyright@ 2008-2022 冰豆网网站版权所有
经营许可证编号:鄂ICP备2022015515号-1