interplanetary detour

Standard와 Extended의 생성 (Numeric)

Standard와 Extended의 생성 (Named)

R1(config)#ip access-list extended Http_ACL

R1(config-ext-nacl))#

R1(config)#int s1/0

R1(config-if)#ip access-group Http_ACL out

연습 Topology

Standard

Standard는 수신한 Packet의 Source IP만 확인하여 필터링한다.

R1(config)#access-list 10 permit host 192.168.26.6

R1(config)#int e0/0

R1(config-if)#ip access-group 10 out

R1(config-if)#do sh access-lists

R1(config-if)#do sh ip access-lists interface ethernet 0/0

ACL의 Default 설정은 모든 것을 deny하는 것이기 때문에 위와 같이 설정해주면 host 192.168.26.6의 out만 허용한다는 의미가 된다. Server5에서 192.168.26.6과 192.168.37.7에 각각 핑을 날려보고 결과를 확인해보면 26.6에서 돌아온 신호는 Ethernet 0/0을 통과해서 Server5까지 다시 돌아올 수 있지만 37.7에게 날린 핑은 돌아오는 과정에서 Ethernet 0/0에 걸려 있는 access-group 10 의 정책에 막혀서 Server5까지 도달하지 못하고 Drop된다.

R1(config-if)#no ip access-group 10 out : 인터페이스에 걸린 그룹 삭제

R1(config)#no access-list 10 : 정책 삭제

ACL을 제거할 때는 반드시 위와 같은 순서로 제거해야 한다.

Extended

Extended는 수신한 Packet의 Destination IP, Source IP, Protocol, Port 정보까지 필터링 속성에 포함할 수 있어서 Standard에 비해 가용성이 높다.

R1(config)#access-list 100 deny tcp 172.16.15.0 0.0.0.255 192.168.26.6 0.0.0.0 eq www

R1(config)#access-list 100 permit ip any any

R1(config)#int e0/0

R1(config-if)#ip access-group 100 in

위의 마스크 값을 보면 0.0.0.255와 0.0.0.0으로 조금 이상한데 이는 와일드 카드 마스크라고 하며, 원래의 마스크 값을 2진수로 변환하고 뒤집어 낸 결과값이다. 그 결과값에서 1은 어느 값이 들어와도 상관없는 것이고 0은 같은 값이 들어와야 한다는 의미를 지닌다.

eq www 부분은 80번 포트를 사용하는 www 서비스에 대한 접근을 제어하겠다고 가리키는 것.

any any는 0.0.0.0 255.255.255.255와 같은 의미로, 따로 제어한 사항 외의 모든 것에 대해 적용하겠다는 의미이다.

위의 ACL 프로세스를 정리하면 172.16.15.0/24 네트워크에서 192.168.26.6 서버의 80번 포트로 접근하려고 하는 Packet을 거부하고 Drop시키는 정책을 가진 access-list 100을 정의하고(1줄), 그 access-list 100에서 나머지 IP에 대한 접근은 허용하며(2줄), Ethernet 0/0 인터페이스에 그 제어 정책을 in으로 올려서 해당 인터페이스로 진입하는(in) Packet에 대해 정책을 적용시켜서 접근을 제어하겠다는 의미이다(3, 4줄).

정책의 순서가 중요하다. 만들어진 순서대로 필터링이 들어가기 때문에 큰 범위의 정책을 먼저 설정할 경우 아래의 작은 범위의 정책이 가려져서 적용이 안 되는 경우가 생길 수 있기 때문이다.