A
B
C
Ç
D
E
F
G
Ğ
H
I
İ
J
K
L
M
N
O
P
R
S
Ş
T
U
Ü
V
Y
Z
Q
W
X
+ Ekle
Access [Erişim Listeleri] // Networkinq.

Access [Erişim Listeleri] // Networkinq.

Access List (Erişim Listeleri)

Router üzerinden iç ag, dış ağ ve DMZ alanlarından gelen paketleri engelleyen veya izin veren listelerdir.

internal : iç ag

external : dış ag

DMZ (Demilitarized Zone): iç agda bulunan ve dış aga hizmet veren
ag turudur. Özel servisleri çalışır. IIS, DNS, mail server gibi.

 

Access list türleri
 


1 - 99 Standard IP ACL



100 - 199 Extended IP ACL



200 - 299 Ethernet type code ACL



300 - 399 DECNET ACL



400 - 499 XNS ACL



500 - 599 Extended XNS ACL



600 - 699 Appletalk ACL



700 - 799 48-bit MAC address ACL



800 - 899 IPX ACL



900 - 999 Extended IPX ACL



1000 - 1099 IPX service advertisement protocol






1100 - 1199 Extended 48-bit MAC address ACL



1200 - 1299 IPX NLSP ACL



1300 - 1999 Standard IP ACL, expanded range



2000 - 2699 Extended IP ACL, expanded range



2700 - 2999 SS7 (Voice) ACL



 

 

Standart Access List:

Paketlerin yalnızca kaynak kısmına bakarak engelleme veya izin işlemlerini

yapan listelerdir.

 

1- Erişim kuralı tanımlanır.

router(config)#access list [ACL NO(1-99)] [permit/deny] [kaynak ip] [kaynak wildcard]

2- Erişim kuralı atanır.

router(config)#interface [s0/s1/fa0]

router(config-if)#ip access-group [ACL NO] [in/out]

 

erişim kuralı paketin yonune göre inbound veya outbound

olarak tanımlanır.

 

Atanan erişim listelerini izlemek için

 

router#show ip access-list

Uygulama:



R1 (s0/1) 192.168.1.1 /24 ------------------- 192.168.1.2 /24 (s0/1) R2



1.baglantı saglanıp ping ile kontrol edilecek.

2.r1 üzerinden tanımlanan erişim listesiyle r2 r1 e erişemeyecek.



2.

R1(config)#access-list 50 deny 192.168.1.2 0.0.0.255

 

işlemi ile 192.168.1.0 networkünü engelleyen erişim listesi yazıldı.

 

R1(config)#access-list 50 deny 192.168.1.2 0.0.0.0

 

işlemi ile 192.168.1.2 ip adresini engelleyen erişim listesi yazıldı.

aynı komut

R1(config)#access-list 50 deny host 192.168.1.2

0.0.0.0 wildcard yerine "host" yazılabilir.

R1(config)#interface serial 0/0

R1(config-if)#ip access-group 50 in

komutu ile arabirime atanır.

r2 den ping cekildikten sonra r1 de

 

r1#show ip access-lists

Standard IP access list 50

deny 192.168.1.0 0.0.0.255 (5 match(es))

5 adet paket için erişim listesinde eşleşme oldugu görülür.
 

 

R1(config)#access-list 50 deny 192.168.1.2 0.0.0.0

R1(config-if)#ip access-group 50 in
 

 

NOT: erişim listesi tanımlanmasıyla birlikte tüm trafik kapanır. Bu yüzden

öncelikle yasaklamalar atanıp sonrasında permit ile izinlerin açılması

gerekir. Aynı uygulamada diger paketlere izin vermek için sırasıyla

 

R1(config)#access-list 50 deny 192.168.1.2 0.0.0.0

R1(config)#access-list 50 permit all

R1(config)#int s0/0

R1(config-if)#ip access-group 50 in
 

 

 

 

Örnek2:

R1(config)#access-list 12 permit 192.168.1.0 0.0.0.255

R1(config)#access-list 12 deny 192.168.1.5 0.0.0.255

R1(config)#access-list 12 permit all

R1(config)#int s0/0

R1(config-if)#ip access-group 50 in
 

 

işlemi sonucunda 192.168.1.0 networkü yasaklanmıştır.

bunun dışındaki ip adresleri izinlidir.

 

NOT2: bir paketin access-list tanımlanan routerdan geçebilmesi için

"permit" ile verilmiş bir izinle çakışması gerekir. Yani paket için

özellikle deny verilmesine gerek yoktur.
 

 

router5(config)#access-list 48 deny 172.16.1.2 0.0.0.0

router5(config)#access-list 48 permit any

router5(config)#interface serial 0/1

router5(config-if)#ip access-group 48 in

router5(config-if)#end

 

EXTENDED ACCESS LIST (100 - 199)

kaynak ve hedef adreslerin tanımlandıgı gelişmiş erişim listeleridir.

protokol, port, ip tanımlamaları yapılabilir.

Kullanımı

access-list [100-199] [permit/deny] [protocol] [kaynak] [hedef] [port]

Örnek1:

access-list 105 permit ip any 192.168.1.5 0.0.0.0

herhangi bir yerden 192.168.1.5 ip adresine yapılan baglantılara izin verir.

Örnek2:

access-list 107 deny tcp host 172.16.1.5 host 192.168.1.1 eq 80

 

172.16.1.5 adresinden 192.168.1.1 in 80 nolu portuna yapılan istekleri

engeller.

eq: (equal) eşittir

lt: (less than): küçüktür

gt: (greater than): büyüktür.

neq: (not equal): eşit degil

örnek3: varsayılan portların dışındaki portların erişimini kapatmak için

(tüm ip adreslerinden 15.0.0.1 e)

default ports (1-1024)

access-list 103 deny tcp any 15.0.0.1 0.0.0.0 gt 1024

access-list 103 deny udp any 15.0.0.1 0.0.0.0 gt 1024

accces-list 103 permit tcp any any

accces-list 103 permit udp any any

 

örnek4: http, ftp, telnet, pop3, smtp, https, dns protokollerini

172.16.1.5 için açın. gerisi kapatılacak.

 

access-list 103 permit tcp any host 172.16.1.5 eq 80

access-list 103 permit tcp any host 172.16.1.5 eq 21

access-list 103 permit tcp any host 172.16.1.5 eq 23

access-list 103 permit tcp any host 172.16.1.5 eq 110

access-list 103 permit tcp any host 172.16.1.5 eq 25

access-list 103 permit tcp any host 172.16.1.5 eq 443

access-list 103 permit udp any host 172.16.1.5 eq 53

 

uygulama:

1. standart erişim listesini kaldırın.

2. pc0 ve pc 3 arasındaki iletişimi kapatın.
 

 

LEGAL TCP TARAMASI

 

SYN: senkronizsyon mesajıdır ve baglantı ilk başalayacagı zaman gonderilir.

ACK: sıra numarasını onaylama mesajıdır.

FIN: baglantıyı kapatma BAYRAGI

PSH: verinin iletildigini belirten bayrak

URG: verinin bir başka veri tarafından acilen kesilmesi gerektigini yani

sıra numarasını degiştiren bayrak

RST: baglantıyı yeniden başlatır ve yeni sıra numarası ile yeni baglantıya

geçer.
 

 

SYN + ACK + ve digerleri
 

 

ILLEGAL TCP Connect TARAMASININ ENGELLENMESİ

 

Router1#configure terminal

Router1(config)#access-list 161 deny tcp any any ack fin psh rst syn urg

Router1(config)#access-list 161 deny tcp any any rst syn

Router1(config)#access-list 161 deny tcp any any rst syn fin

Router1(config)#access-list 161 deny tcp any any rst syn fin ack

Router1(config)#access-list 161 deny tcp any any syn fin

Router1(config)#access-list 161 deny tcp any any syn fin ack

Router1(config)#end

Router1#

 

NAMED ACCESS LIST (isim verilerek erişim listesi hazırlama)
 

 

Router1#configure terminal

Router1(config)#ip access-list standard izinver

Router1(config-std-nacl)#remark This is a standard ACL

Router1(config-std-nacl)#permit any log

Router1(config-std-nacl)#exit

Router1(config)#ip access-list extended webyasak

Router1(config-ext-nacl)#remark This is an extended ACL

Router1(config-ext-nacl)#deny tcp any any eq www

Router1(config-ext-nacl)#permit ip any any log

Router1(config-ext-nacl)#exit

Router1(config)#interface Serial0/1

Router1(config-if)#ip access-group izinver in

Router1(config-if)#end

Router1#

 

--------------------------------------------------------------------------------

 

Router1#configure terminal

Enter configuration commands, one per line. End with CNTL/Z.

Router1(config)#ip access-list extended PING-OUT

Router1(config-ext-nacl)#permit icmp any any reflect ICMP-REFLECT timeout 15

Router1(config-ext-nacl)#permit ip any any

Router1(config-ext-nacl)#exit

Router1(config)#ip access-list extended PING-IN

Router1(config-ext-nacl)#evaluate ICMP-REFLECT

Router1(config-ext-nacl)#deny icmp any any log

Router1(config-ext-nacl)#permit ip any any

Router1(config-ext-nacl)#exit

Router1(config)#interface Serial0/1

Router1(config-if)#ip access-group PING-OUT out

Router1(config-if)#ip access-group PING-IN in

Router1(config-if)#end

Router1#





PORT YAPILANDIRMA ÖRNEKLERİ:

 

Router1#configure terminal

Router1(config)#access-list 152 permit tcp any any eq ftp

Router1(config)#access-list 152 permit tcp any any eq ftp-data established

Router1(config)#interface FastEthernet0/0

Router1(config-if)#ip access-group 152 in

Router1(config-if)#end

Router1#

 

Açıklaması: ftp baglantısı ve ftp veri iletişimi için izinlerin atanması.

 

---------------------------------------------------------------------------

 

Router1(config)#access-list 154 permit udp any any range 6000 6063

Açıklaması: udp 6000 6063 arasında çalışan portların izinlerinin verilmesi.

 

Router1(config)#access-list 155 deny udp any any gt 1023

Açıklaması: 1023 den büyük udp portlarının erişiminin kısıtlanması.

 

Router1(config)#access-list 156 permit udp any any lt 1024

Açıklaması: 1024 den küçük UDP portlarının erişiminin açılması.

 

Router1(config)#access-list 157 permit udp any any neq 666

Açıklaması: 666 haricindeki tüm portların erişiminin açılması.

 

----------------------------------------------------------------------------

Router1#configure terminal

Router1(config)#access-list 121 permit tcp any any eq telnet syn log

Router1(config)#access-list 121 permit tcp any any eq telnet

Router1(config)#access-list 121 permit ip any any

Router1(config)#end

Router1#

AÇıklaması: yapılan tüm telnet baglantı isteklerini loglar ve telnete izin

verir.