ACL和Iptabless文档格式.docx

1、 Router（config）#access-list （100-199）permit | deny protocol 原地址 反掩码 目标地址 反掩码 operator operan Operator:lt-小于；gt大于；eq等于；neq-不等于 Protocol：TCP;UDP;IP;ICMP1. 允许网络192.168.1.0/24访问网络192.168.2.0/24的ip流量通过。而拒绝其他的任何流量Router（config）#access-list 100 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 Router（c

2、onfig）#access-list 100 deny ip any any2. 拒绝网络192.168.1.0/24访问FTP服务器192.168.2.2。而其允许他的任何流量Router（config）#access-list 101 deny tcp 192.168.1.0 0.0.0.255 host 192.168.2.2 eq 21Router（config）#access-list 101 permit ip any any3.禁止192.168.1.0/24中的主机ping服务器192.168.2.2 而允许其他任何流量Router（config）#access-list 11

3、9 deny icmp 192.168.1.0 0.0.0.255 host 192.168.2.2 echoRouter（config）#access-list 119 permit ip any any4.将ACL应用到端口Router（config）# ip access-group 101 in|out5.查看 show access-list4.命名访问控制列表 1. Router（config）#ip access-list standard |extended access-list-name2.标准命名ACL：Router（config-std-nacl）#【seq-Num】

4、permit|denysource 【source-vildcard】 3.扩展命名ACL： Router（config-std-nacl）#【seq-Num】 permit|deny Protocol src src-vildcard dst dst-vildcard 【operator operan】 如：允许来自主机192.168.1.1/24和192.168.2.6/24的流量通过，而拒绝其他的流量通过Router（config）#ip access-list ciscoRouter（config-std-nacl）#15 permit host 192.168.2.6Router（c

5、onfig-std-nacl）#permit host 192.168.1.14.删除 Router（config）# no ip access-list access-list-name 或Router（config-std-nacl）#no 155.将ACL应用到接口 Router（config-if）#ip access-group name in|out5.定时访问控制列表1.定义时间范围的名称 Router（config）# time-range name2.指定时间范围何时生效 1）.定义一个时间周期 Router（config-time-range）#periodic days-

6、of-the-week hh：mm to 【days-of-the-week】hh：mm参数days-of-the-week and month取值说明MonthMonday星期一January一月Tuesday星期二February二月Wednesday星期三March三月Thursday星期四April四月Friday星期五May五月Saturday星期六June六月Sunday星期日July七月Daily、每天Augest八月weekdays平日（一到五）September九月Weekend周末（六和七）October十月November十一月December十二月 2）.定义一个决定时

7、间Router（config-time-range）#absolute start hh:mm day month year end hh:mm day month year 2.在扩展ACL中应用时间范围 Router（config）#access-list num permit|denyprotocol src src-vildcard dst dst-vildcard 【operator operan】3.将ACL应用到接口 Router（config-if）#ip access-group num in|out应用：在每周正常工作时间，允许所有IP流量通过网络 Router（confi

8、g）#time-range worktime Router（config-time-range）#periidic weekdays 8：30 to 17：30 Router（config）#access-list 101 permit ip any any time-range worktime Router（config）#int f0/x Router（config-if）#ip access-group 101 in 在2009年5月10日8:30 dao 20日18:00这时间段，允许所有的ip流量通过。 Router（config）# time-range mytime Route

9、r（config-time-range）#absolute start 8:00 10 may 2009 end 18:00 20 may 2009 Router（config）#access-list 100 permit ip any any time-range mytime6.定义顺序和应用端口规则 1.顺序 1.确定源地址和目标地址1. x x x x x x x x y x表示拒绝 y 表示允许2.y y y y y yy y y x 2.确定顺序 3.确定端口和协议2.端口应用规则 1.一般标准ACL应用在离目的地最近的路由器上的（in的方向上）。 2.一般扩展ACL应用在离源地

10、址最近的路由器上。7.具体应用配置iptables防火墙1.iptabels的规则表、链结构1.规则表 Filter表：包含三个规则链：INPUT FORWARD OUTPUT 主要对数据包进行过滤， 内核模块：iptables_filter Nat 表： 包含三个规则链：PREROUTIGN POSTROUTING OUTPUT 主要用于修改数据包的IP地址、端口号iptables_nat Mangle 表：PREROUTIGN POSTROUTING INPUT OUTPUT 主要用于修改数据包的TOS （Type of Service 服务类型）。TTL、iptables_magle R

11、aw 表：PREROUTIGN OUTPUT 主要用于决定数据包是否被状态跟踪机制，并且优先于其他表iptables_raw2.规则链 INPUT：当接收到访问防火墙机地址的数据包（入站）时，应用此规则 FORWARD：当防火墙本机向外发送数据包（出站）时，应用此链的规则、 OUTPUT：当接收到需要通过防火墙发送给其他地址的数据包（转发）时 PREROUTIGN：在对数据包做路由选择之前，应用 POSTROUTING：在对数据包做路由选择之后，应用此规则。其中，INTPUT 和OUTPUT多应用在“主机防火墙中”针对服务器本身进行数据安全控制 PREROUTIGN POSTROUTING F

12、ORWARD 应用在“网络防火墙”，特别时网关时。2.管理iptables规则 1.基本格式：iptables -t 表名 命令选项 链名 条件匹配 -j 目标动作或跳转iptables命令的管理控制选项作用选项名功能及特点添加A在指定的末尾添加（-append）一条新的规则插入I在指定链中插入一条规则，默认为开头插入删除清空F清空指定链的所有规则，若未指定链，则清空所有链的规则D删除（-delete）指定链中的某一条规则，按序号或内容显示查看L列出指定链中的所有规则，若未指定链，则列出表中的所有链的规则n使用数字（-numeric）显示输出结果，如主机的IP-v查看规则列表显示详细信息（-verbose）-V查看iptables 命令工具版本的信息-h查看帮助信息-line-numbers查看规则列表时，同时显示规则在链中的顺序号修改R修改。替换指定链中的某一条规则，可按序号或内容P设置指定的默认策略（-policy）用户自定义N新建（-new-chain）一条用户自定义的规则链-X删除指定表中用户自定义的规则链查看filter表中INPUT链中的所有规则，同时显示各条规则的序号Iptables