Access-list : 네트워크로 접속을 허용하는지 제한하는지에 대한 리스트, 라우터에 문지기
엑세스 리스트에 한계
모든 침입자를 완벽하게 막아낼 수는 없고 관리 자체도 쉽지 않다.
그래서, 피지컬 계층 부터 어플리케이션 계층까지를 완벽히 막아 줄수 있고 많은 보안 기능을 가진 전문 보안 서버가 필요한 것이다. 그러므로 방화벽을 사용하는 것이다.
다이내믹 엑세스 리스트 : 유저네임과 패스워드에 따라 통제가 가능한 엑세스 리스트
- 외부에서 들어오는 것은 in에서 막는것이 좋고 내부에서 나가는 것은 out에서 막는것이 보통이다
스탠더드 : 출발지 주소만
인스텐드 : 출발지 목적지 프로토콜 포트번호
액세스리스트 걸리면 'Host Unreachable' 이 나온다.
중요한 4가지 규칙
1. 엑세스 리스트는 윗줄부터 하나씩 차례대로 수행된다.
2. 엑세스 리스트의 맨 마지막 line에 "permit any"를 넣지 않을 경우 default 로 어느 엑세스 리스트와도 match되지 않는 나머지 모든 address는 deny 된다.
3. 엑세스 리스트의 새로운 line은 항상 맨 마지막으로 추가되므로 access-list line의 선택적 추가나 제거가 불가능하다.
4. 엑세스 리스트 만들고 해당 interface에 access-group 안해주면 permit any 이다.
Inbound 동작 원리 (외부에서 들어올때 걸어주자)
Outbound 동작원리(내부에서 나갈때 걸어주자)
텔넷포트에 엑세스 리스트 걸기
line vty 0 4
access-class 10(엑세스 리스트 번호) in
중요한 익스텐드 엑세스 리스트
access-list 100-199,2000-2699 {permit | deny} protocol source source-wildcard [ operator port ] destination destination-wildcard [ operator port ][ established ] [ log ]
access-group 주고
몰랐던 established 옵션을 알아보자
이 옵션을 주면 TCP 데이터그램이 ACK나 RST bit이 set 되어 들어오는 경우에만 match가 발생
외부에서 in으로 들어올때 걸어주면 내부에 목적지 ip 에 대해 ACK, RST bit 가 1으로 설정되있는 패킷만 받는다. 고로 내부에서 외부로 연결만 가능하고 외부에서는 연결시도는 안된다. nat가 걸려있는 라우터에 설정할 필요는 없을것 같다. 이유는 외부에서 내부 pc 접속을 어케하냐 global ip만 알지...
