Ip access-group 111 out
Interface ethernetO
Ip access-list 111 permit ip any any
Ip access-list 111 deny ip host 10.0.0.15 host 12.0.0.5
Ip access-list 111 deny tcp any any eq 80
Access-list 10 permit any
Access-list 10 deny 12.0.0.0 0.255.255.255
Access-list 10 deny host 11.0.0.5
В этом списке:
- запрещен весь трафик хосту с IP адресом 11.0.0.5;
- запрещен весь трафик в сети 12.0.0.0/8 (в правиле указывается не реальная маска подсети, а ее шаблон);
- весь остальной трафик разрешен.
В расширенных списках доступа вслед за указанием действия ключами permit или deny должен находиться параметр с обозначением протокола (возможны протоколы IP, TCP, UDP, ICMP), который указывает, должна ли выполняться проверка всех пакетов IP или только пакетов с заголовками ICMP, TCP или UDP. Если проверке подлежат номера портов TCP или UDP, то должен быть указан протокол TCP или UDP (службы FTP и WEB используют протокол TCP).
При создании расширенных списков в правилах доступа можно включать фильтрацию трафика по протоколам и портам. Для указания портов в правиле доступа указываются следующие обозначения (таблица 10.1):
Таблица 10.1.
| обозначение | действие |
| lt n | Все номера портов, меньшие n. |
| gt n | Все номера портов, большие n. |
| eq n | Порт n |
| neq n | Все порты, за исключением n. |
| range n m | Все порты от n до m включительно. |
Распространенные приложения и соответствующие им стандартные номера портов приведены в следующей таблице 10.2:
Таблица 10.2.
| Номер порта | Протокол | Приложение | Ключевое слово в команде access_list |
| TCP | FTP | data ftp_data | |
| TCP | Управление сервером FTP | ftp | |
| TCP | SSH | ||
| TCP | Telnet | telnet | |
| TCP | SMTP | Smtp | |
| UDP, TCP | DNS | Domain | |
| 67, 68 | UDP | DHCP | nameserver |
| UDP | TFTP | Tftp | |
| TCP | HTTP (WWW) | www | |
| TCP | POP3 | pop3 | |
| UDP | SNMP | Snmp |
Пример расширенного списка доступа №111:
! Запретить трафик на порту 80 (www-трафик)
! Применить список доступа 111 к исходящему трафику
В этом списке внешние узлы не смогут обращаться на сайты внутренней сети, т.к. список доступа был применен на выход (для внешних узлов) интерфейса, а так же узлу 10.0.0.15 запрещен доступ к узлу 12.0.0.5
Остальной трафик разрешен.
Этап третий – применение списка доступа.
Списки доступа могут быть использованы для двух типов устройств:
1 – на маршрутизаторе;
2 - на коммутаторе третьего уровня.
На каждом интерфейсе может быть включено два списка доступа: только один список доступа для входящих пакетов и только один список для исходящих пакетов.
Каждый список работает только с тем интерфейсом, на который он был применен и не действует на остальные интерфейсы устройства, если он там не применялся.
Однако один список доступа может быть применен к разным интерфейсам.
Применение списка доступа к устройству осуществляется следующими командами:
interface ethernet0/0/0