Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.

Announcement

Collapse
No announcement yet.

Acces-list xin được giúp đỡ!

Collapse
X
Collapse
 
  • Page of 1
  • Filter
  • Time
  • Show
Clear All
new posts
Previous template Next
  • #1

    Acces-list xin được giúp đỡ!

    Có người hỏi em yêu cầu: Thiết lập một access-list để cấm một máy A cấm telnet sang một máy B. Nếu thiết lập một access-list cấm A tới B thì em cũng làm được. Nhưng câu hỏi cấm telnet thì thế nào nhi? Em chưa hiểu câu hỏi, có fải nó có nghĩa là thiết lập một access-list cấm A sang B ko?
    Mong mọi ngừoi cho cho ý kiến trả lời. Thanks!
    Tags: None
  • #2
    bro có bao giờ sử dụng telnet chưa ? telnet hoạt động trên cổng nào ? ACL cấm telnet bro phải chỉ ra cổng .

    Comment

    • #3
      Viết ACL cấm telnet, nhưng phải nói rõ là cấm telnet vào, hay mình ko được telnet ra. và ta gán vào cổng vty.
      R(config)#line vty 0 4
      R(config-line)#access class 1 (in/out)
      Trịnh Anh Luân
      - Email : trinhanhluan@vnpro.org
      - Search my site
      - Search VNPRO.ORG

      Trung Tâm Tin Học VnPro
      Địa chỉ: 149/1D Ung Văn Khiêm P25 Q.Bình thạnh TPHCM
      Tel: (08) 35124257 (5 lines)
      Fax: (08) 35124314

      Home page: http://www.vnpro.vn
      Support Forum: http://www.vnpro.org
      Network channel: http://www.dancisco.com
      • Chuyên đào tạo quản trị mạng và hạ tầng Internet
      • Phát hành sách chuyên môn
      • Tư vấn và tuyển dụng nhân sự IT
      • Tư vấn thiết kế và hỗ trợ kỹ thuật hệ thống mạng

      Blog: http://www.vnpro.org/blog
      Wifi forum: http://www.wifipro.org

      Comment

      • #4
        Originally posted by arian_hutu
        access-list 101 deny tcp (IP host A) 0.0.0.0 (IP host B) 0.0.0.0 eq 23
        access-list 101 permit ip any any
        Hãy cẩn thận với telnet, vì có thể telnet đến các cổng khác của router !!! nếu apply trên interface vật lý, thì phải cấm nhiều dòng ACL, ta nên tạo ACL cấm source và apply lên cổng ảo !!!
        Trịnh Anh Luân
        - Email : trinhanhluan@vnpro.org
        - Search my site
        - Search VNPRO.ORG

        Trung Tâm Tin Học VnPro
        Địa chỉ: 149/1D Ung Văn Khiêm P25 Q.Bình thạnh TPHCM
        Tel: (08) 35124257 (5 lines)
        Fax: (08) 35124314

        Home page: http://www.vnpro.vn
        Support Forum: http://www.vnpro.org
        Network channel: http://www.dancisco.com
        • Chuyên đào tạo quản trị mạng và hạ tầng Internet
        • Phát hành sách chuyên môn
        • Tư vấn và tuyển dụng nhân sự IT
        • Tư vấn thiết kế và hỗ trợ kỹ thuật hệ thống mạng

        Blog: http://www.vnpro.org/blog
        Wifi forum: http://www.wifipro.org

        Comment

        • #5
          Originally posted by arian_hutu
          access-list 101 deny tcp (IP host A) 0.0.0.0 (IP host B) 0.0.0.0 eq 23
          access-list 101 permit ip any any
          Cái này đúng, và add vào cổng gần máy B nhất

          Comment

          • #6
            Originally posted by luancb View Post
            Hãy cẩn thận với telnet, vì có thể telnet đến các cổng khác của router !!! nếu apply trên interface vật lý, thì phải cấm nhiều dòng ACL, ta nên tạo ACL cấm source và apply lên cổng ảo !!!
            Anh luan cb có thể giải thích kĩ hơn được không? nếu có câu lệnh minh họa thì càng tốt.
            Nhân tiện em muốn hỏi các anh một bài về ACL:

            Em hiểu thì 2 câu lệnh này cấm dữ liệu tcp có địa chỉ nguồn 192.169.1.8/29 port nguồn là 20, 21 đến địa chỉ đích bất kì.
            Sao đáp án D lại đúng, nếu như em có dữ liệu xuất phát từ đây nhưng có port nguồn khác 20, 21 thì sao bị denied ?

            Comment

            • #7
              mọi ACLs nếu bạn ko gõ thêm dòng lệnh

              access-list [num] permit any any

              thì mặc định sẽ có 1 dòng lệnh ẩn

              access-list [num] deny any any

              Do đó, câu D là câu đúng :)

              Comment

              • #8
                Xin bổ xung thêm access-list trên đã được appy theo chiều outbound on E0 vị vậy các traffic đi ra ngoài E0 sẽ bị deny(All traffic exiting E0 will be deny)
                The simple is best! :-?

                Comment

                • #9
                  Originally posted by nickan87 View Post
                  Anh luan cb có thể giải thích kĩ hơn được không? nếu có câu lệnh minh họa thì càng tốt.
                  Nhân tiện em muốn hỏi các anh một bài về ACL:

                  Em hiểu thì 2 câu lệnh này cấm dữ liệu tcp có địa chỉ nguồn 192.169.1.8/29 port nguồn là 20, 21 đến địa chỉ đích bất kì.
                  Sao đáp án D lại đúng, nếu như em có dữ liệu xuất phát từ đây nhưng có port nguồn khác 20, 21 thì sao bị denied ?
                  Mình xin diễn giải lại ý luancb nói cho bạn rễ hiểu hơn:
                  Một router có nhiều interface vật lý, nếu bạn tạo access-list lên interface vật lý thì sẽ cần app lên nhiều cổng tùy thuộc vào topo và yêu cầu...vv
                  Ví dụ minh họa:
                  Giả sử như mạng 10.10.10.0/24 có hai đường kết nối tới router A là fa0/1 và ser0/1 thì để cấm telnet đến router bạn cần apply access-list trên cả hai cổng này!
                  Để đơn giản hóa trong cấu hình và đơn giản hóa cho xử lý của router(access-list mà càng ít câu lệnh thì càng tốt) người ta quản lý telnet bằng access-list standard và apply lên các virtual lines của router
                  Vd: cùng với ví dụ trên ta có thể làm như sau:
                  access-list 1 deny 10.10.10.0 0.0.0.255
                  access-list 1 permit any
                  line vty 0 15
                  access-class 1 in
                  .....
                  như vậy ta sẽ cấm được mạng 10.10.10.0 telnet đến router!
                  :D
                  The simple is best! :-?

                  Comment

                  • #10
                    @buninc: Chắc bạn viết nhầm một chút đúng ko? access-list [num] permit ip wildcard thì mặc định sẽ có 1 dòng lệnh ẩn: access-list [num] deny any any. Nhưng ko hiểu sao hình sau vẫn có lệnh access-list 21 deny any đi kèm nhỉ? Mình tưởng không cần lệnh này, các host ngoài dải đã permit sẽ bị deny.

                    @dothanhkhanh: Mình xem giải thích của pas4sure cũng thấy nói B đúng do appy theo chiều outbound on E0 rồi. Nhưng không hiểu sao lại thế lắm, bạn giải thích kĩ hơn đi. Thanks bạn vì lời giải thích cái của anh luancb nhé

                    Comment

                    • #11
                      Originally posted by nickan87 View Post
                      @buninc: Chắc bạn viết nhầm một chút đúng ko? access-list [num] permit ip wildcard thì mặc định sẽ có 1 dòng lệnh ẩn: access-list [num] deny any any. Nhưng ko hiểu sao hình sau vẫn có lệnh access-list 21 deny any đi kèm nhỉ? Mình tưởng không cần lệnh này, các host ngoài dải đã permit sẽ bị deny.

                      @dothanhkhanh: Mình xem giải thích của pas4sure cũng thấy nói B đúng do appy theo chiều outbound on E0 rồi. Nhưng không hiểu sao lại thế lắm, bạn giải thích kĩ hơn đi. Thanks bạn vì lời giải thích cái của anh luancb nhé
                      Hi!
                      Mặc định trong tất các các loại access-list thì cuối cùng sẽ có câu lệnh ẩn deny any any(Implicit deny)
                      còn việc trong cấu hình ta thêm câu lệnh này thì có lẽ hơi thừa, nhưng nhiều khi vẫn gõ vào, điều đó để cho chắc chắn hơn ý mà. Với lại tron ảnh bạn đưa họ gõ thêm cái đó mục đích là để giải thích nên cho thêm vào để rễ hiểu hơn thôi!

                      Còn với câu hỏi trong 4bátzưa như bạn @buninc đã giải thích, Implicit deny là mặc định tại cuối mỗi access-list(the implied "deny all traffic" is the default behavior of ACLs and cannot be changed)
                      và access-list khi bạn apply lên interface tương ứng ta fải chú ý đến chiều mà traffic đó đi là vào hay ra mà ta apply nó in out tương ứng.
                      Như ở trên E0 là apply theo chiều outbound nên tất cả các traffic đi ra ngoài E0 này sẽ bị dined!
                      Than! :)
                      Last edited by dothanhkhanh; 09-08-2009, 08:06 PM.
                      The simple is best! :-?

                      Comment

                      • #12
                        Bạn dothanhkhanh giải thích ok rồi đó ^^

                        Comment

                        Previous template Next
                        Working...
                        X