static route 설정으로 경로학습,ip 입력등은 생략
들어가기전
답이 여러가지가 될 수 있으므로, 생각하면서 이해 할 수 있는게 제일좋다
모든 실습은 FW_Router를 기준으로 함
FW_Router가 방화벽 느낌
1. FW_Router int g0/0에서 ACL standard 숫자 설정
Webterm 외부 접속 차단하고, 나머지는 허용
Router_FW
access-list 1 deny host 192.168.0.2
access-list 1 permit any
int g0/0
ip access-group 1 in
확인하기
sh access-lists
테스트
Webterm 에서 goolge_dns(8.8.8.8)로 핑테스트
차단 확인
2. FW_Router int g0/1에서 ACL extended 숫자 설정
google_dns(8.8.8.8)에서 R7(192.168.0.3)로 icmp 만 허용, 나머지 icmp는 차단
인바운드, 아웃바운드 설정 둘다 써보기
INBOUND 설정
access-list 100 permit icmp host 8.8.8.8 host 192.168.0.3
access-list 100 deny icmp any any
int g0/1
ip access-group 100 in
+
묵시적 차단으로 인해 access-list 100 deny icmp any any 를 쓰지 않아도 차단됨
써주는게 좋긴함
확인
핑 테스트
goolge_dns(8.8.8.8)에서 192.168.0.3로 핑테스트
R3에서 192.168.0.3로 핑테스트
OUTBOUND 설정
access-list 100 permit icmp host 192.168.0.3 host 8.8.8.8
access-list 100 deny icmp any any
int g0/1
ip access-group 1 out
host 의 위치만 바꾸면 inbound와 같음
3. DNS -> R7으로 icmp만 허용, 나머지는 차단
int g0/1, inbound 적용
Router_FW(config)#ip access-list extended qwer
Router_FW(config-ext-nacl)#10 permit icmp host 8.8.8.8 host 192.168.0.3
Router_FW(config-ext-nacl)#20 deny ip any any
Router_FW(config)#int g0/1
Router_FW(config-if)#ip access-group qwer in
10, 20 으로 우선순위 표시
3-1 Webterm에서 google.com 접속이 가능하게 설정
3번에서 이어서 int g0/1에 적용
webterm 입장에서 int g0/1은 반대인것을 생각
ip access-list extended qwer
10 permit ip host 8.8.8.8 host 192.168.0.2
돌아오는 응답패킷을 못받는 느낌
ip로 다 표현하는 방법 외 일일이 다 써서 표현하기
위에 10 permit~은 취소하고
ip access-list extended qwer
10 permit icmp host 8.8.8.8 host 192.168.0.2
20 permit udp host 8.8.8.8 eq 53 host 192.168.0.2
30 permit tcp host 8.8.8.8 eq 80 host 192.168.0.2
40 permit tcp host 8.8.8.8 eq 443 host 192.168.0.2
50 deny ip any any
int g0/1
ip access-group qwer in
dns,http,https 설정
deny ip any any 보다 우선순위 높게 설정
확인하기
Webterm 에서 ping google.com(8.8.8.8)
도메인 접속
