访问控制列表实现包过滤

最新推荐文章于 2025-03-31 11:53:34 发布
最新推荐文章于 2025-03-31 11:53:34 发布
阅读量855 收藏 2
点赞数
分类专栏: 华三网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_47144616/article/details/113797235
版权

ACL

定义

访问控制列表:用于数据流的匹配和筛选

常见功能

1、访问控制
数据包过滤
2、路由控制
ACL+Router-policy
3、流量控制
ACL+QOS

基于ACL的包过滤

定义

对进出的数据包逐包检查,丢弃或允许通过,包过滤必须配置在接口的某个方向上才能生效,一个接口的一个方向只能配置一个包过滤策略

包过滤的方向

入方向:只对从外部进入的数据包做过滤
出方向:只对从内部发出的数据包做过滤

包过滤的工作流程

在这里插入图片描述
1、数据包到达接口检查是否应用了ACL,是则进入匹配,否则放行
2、按照ACL编号匹配第一条规则,匹配则进一步检查该条规则动作,否则与下一条规则进行匹配
3、继续进行匹配,如匹配则检查规则动作,否则与下一条进行匹配
4、所有规则都不匹配,检查默认动作,默认动作允许则放行,默认动作拒绝则丢弃

注意

1、如果默认动作是允许,至少需要一条拒绝规则
2、如果默认动作是拒绝,至少需要一条允许规则
3、H3C的ACL用于包过滤默认允许,用于其他默认拒绝
4、把小范围的规则分配一个靠前的顺序
5、在不影响实际效果前提下,把包过滤尽量配置在离源地址最近的接口的入方向

ACL的分类

基本ACL

只对数据包的源地址进行匹配,编号2000-2999

高级ACL

对数据包五元组进行精确匹配(源、目的IP,源、目的端口,协议四层)

实验

在这里插入图片描述

1、按照图示配置 IP 地址
2、全网路由互通
3、在 SERVER上配置开启 TELNET 和 FTP 服务
4、配置 ACL 实现如下效果
I、192.168.1.0/24 网段不允许访问 192.168.2.0/24 网段,要求使用基本 ACL 实现
II、PC1 可以访问 SERVER的 TELNET 服务,但不能访问 FTP 服务
III、PC2 可以访问 SERVER的 FTP 服务,但不能访问 TELNET 服务
IIII、192.168.2.0/24 网段不允许访问 SERVER,要求通过高级 ACL 实现
分析:
I的策略只能放在R2的G0/2的出方向,因为基本ACL只关心源地址,放在其他路由器接口,会导致192.168.1.0网段无法访问其他网段。
II的策略使用高级ACL策略,直接放在R1的G0/1的入方向
III的策略使用高级ACL,直接放在R1的G0/1的入方向
IIII的策略使用高级ACL,放在R2的g0/2的入方向
R2的配置

[R2]acl basic 2000
[R2-acl-ipv4-basic-2000]rule deny source 192.168.1.0 0.0.0.255
[R2]interface g0/2
[R2-GigabitEthernet0/2]packet-filter 2000 outbound
[R2]acl advanced 3000
[R2-acl-ipv4-adv-3000]rule deny ip source 192.168.2.0 0.0.0.255 destination 192.168.3.8 0
undo rule '序列号'  #如果删除的话
[R2]inter g0/2
[R2-GigabitEthernet0/2]packet-filter 3000 inbound

SERVER配置,开启ftp,telnet服务


[SERVER]ftp server en
[SERVER]local-user lou-1
[SERVER-luser-manage-lou-1]password sim 123
[SERVER-luser-manage-lou-1]service-type ftp
[SERVER-luser-manage-lou-1]authorization-attribute user-role level-15
[SERVER]telnet server enable
[SERVER]local-user lou
[SERVER-luser-manage-lou]pas sim 123
[SERVER-luser-manage-lou]ser telnet
[SERVER-luser-manage-lou]authorization-attribute user-role level-15
[SERVER]user-interface vty 0 4
[SERVER-line-vty0-4]authentication-mode scheme

R1的配置

[R1]acl advanced 3000
[R1-acl-ipv4-adv-3000]rule deny tcp source 192.168.1.5 0 destination 192.168.3.8 0 destination-port range 20 21
[R1-acl-ipv4-adv-3000]rule deny tcp source 192.168.1.6 0 destination 192.168.3.8 0 destination-port eq 23
[R1-acl-ipv4-adv-3000]dis this
#
acl advanced 3000
 rule 0 deny tcp source 192.168.1.5 0 destination 192.168.3.8 0 destination-port range ftp-data ftp
 rule 5 deny tcp source 192.168.1.6 0 destination 192.168.3.8 0 destination-port eq telnet
[R1]inter g0/1
[R1-GigabitEthernet0/1]packet-filter 3000 inbound
[网络安自学篇] 六十.Cracer第八期——(2)五万字总结Linux基础知识和常用渗透命令
杨秀璋的专栏
03-19 1万+
作为Web渗透的初学者,Linux基础知识和常用命令是我们的必备技能,本文详细讲解了Linux相关知识点及Web渗透免了高龄。如果想玩好Kali或渗透,你需要学好Linux及相关命令,以及端口扫描、漏洞利用、瑞士军刀等工具。安领域通常分为网络安(Web渗透)和系统安(PWN逆向)两个方向。非常基础的一篇文章,希望能帮助到您!
【网络入门】详解常用的基础网络知识(笔试面试常考内容)
热门推荐
dvlinker的技术专栏
04-26 7万+
本文结合多年来的工作实践,来详细讲述一下作为IT从业人员要掌握的一些基础网络知识。
linux基础入门教程
06-22
是一种自由和开放源码的类Unix操作系统。目前存在着许多不同的Linux,但它们都使用了Linux内核。Linux可安装在各种计算机硬件设备中,从手机、平板电脑、路由器和视频游戏控制台,到台式计算机、大型机和超级计算机。Linux是一个领先的操作系统,世界上运算最快的10台超级计算机运行的都是Linux操作系统。严格来讲,Linux这个词本身只表示Linux内核,但实际上人们已经习惯了用Linux来形容整个基于Linux内核,并且使用GNU 工程各种工具和数据库的操作系统。Linux得名于计算机业余爱好者Linus Torvalds。
Linux入门教程(非常详细)从零基础入门到精通,看完一篇了_linux学习
最新发布
HUANGXIN9898的博客
03-31 1379
Linux 基础操作系统什么是 LinuxLinux 系统内核与 Linux 发行套件的区别系统内核指的是由负责维护,提供硬件抽象层、硬盘及文件系统控制及多任务功能的系统核心程序。发行套件系统是我们常说的 操作系统,也即是由 内核与各种常用软件的集合产品。总结:真正的 指的是系统内核,而我们常说的 指的是 “发行版完整的包含一些基础软件的操作系统”。Linux 对比 Windows1.稳定且有效率;2.免费(或少许费用);3.漏洞少且快速修补;4.多任务多用户;5.更加安的用户与文件权限策略;6.适合小内
Linux,常用命令,看这篇就
qq_48721706的博客
06-13 3万+
linux 常用命令大
Linux入门教程(非常详细)从零基础入门到精通,看完一篇了_linux教程
2401_84578953的博客
02-13 2230
linux系统中一切皆文件/bin是binary的缩写,这个目录存放着最经常使用的命令,通过上方桌面可以看到bin文件夹有个箭头,是链接到 /usr/bin下,相当于快捷方式,进入/bin和/usr/bin下是一模一样的/sbins就是super User的意思,这里存放的是系统管理员使用的系统管理程序。/home存放普通用户的主目录,在Linux中每个用户都有一个自己的目录,一版该目录名是以用户的账号命名的。/root该目录为系统管理员,也称为超级权限者的用户主目录。/lib。
Linux操作系统入门
AquaMriusC的博客
05-21 5529
Linux操作系统入门 一、入门概述 我们为什么要学习Linux linux诞生了这么多年,以前还喊着如何能取代windows系统,现在这个口号已经小多了,任何事物发展都有其局限性都有其天花板。就如同在国内再搞一个社交软件取代腾讯一样,想想而已基本不可能,因为用户已经习惯于使用微信交流,不是说技术上实现不了解而是老百姓已经习惯了,想让他们不用,即使他们自己不用亲戚朋友还是要用,没有办法的事情。 用习惯了windows操作系统,再让大家切换到别的操作系统基本上是不可能的事情,改变一个人已经养成的习惯太难。
快速入门Linux
阳光宅男的博客
06-06 983
快速安装Liunx系统以及熟悉简单的liunx命令(包含一些常见的bug以及其解决方案)
Linux入门基础教程
weixin_30740295的博客
06-03 4073
转载自:http://www.centoscn.com/CentOS/2015/0528/5555.html 1. 1 Linux操作系统简介 Linux是一套免费使用和自由传播的类Unix操作系统,是一个基于POSIX和UNIX的多用户、多任务、支持多线程和多CPU的操作系统。它能运行主要的UNIX工具软件、应用程序和网络协议。它支持32位和64位硬件。Linux继承了Unix以网...
Linux入门
weixin_30246221的博客
07-07 207
操作系统的分类 Windows系列操作系统,Unix类操作系统,Linux类操作系统,Mac操作系统 unix 1965年以前,电脑不像现在这么普及,不是一般人能碰的起的,除非是军事或者研究机构,才有计算机的存在。 当时一台机器顶多提供30台终端(主机+键盘+显示器),用于连接 Linux 提问:为什么要去学习Linux? 同学甲可能要...
Linux 系统如何快速入门?分享民工哥总结的经验
人邮异步社区
11-04 1万+
我应该如何入门Linux系统运维Linux系统运维到底需要学哪些技术?怎么学? 系统、服务报错了,如何处理? 为什么监控系统不报警,或报警没有通知…? 数据库丢数据了,如何恢复?如何有效地备份数据? Docker怎么学?学哪些内容? …… 其实,民工哥在初学运维时、刚工作时,也一样有这些问题,这很正常。 民工哥从事IT技术工作多年,从最初的桌面技术、网络工程师、再到运维,一路走来,算是披荆斩棘。谈不上有多老道,但也积累了一定的经验,也总结了一些对运维工作及对价值的理解。 运维是一个对技术
linux操作系统快速入门
littlespider889的博客
07-05 489
大家好,我是天空之城,今天给大家带来,linux操作系统快速入门Linux 内核以及发行版 Linux内核(kernel) 操作系统内核是指大多数操作系统的核心部分。它由操作系统中用于管理存储器、文件、外设和系统资源的那些部分组成。操作系统内核通常运行进程,并提供进程间的通信。 Linux 内核版本又分为 稳定版 和 开发版,两种版本是相互关联,相互循环 稳定版:具有工业级强度,可以广泛地应用和部署。 开发版:由于要试验各种解决方案,所以变化很快 内核源码网址: Linux发行版 Linux 发行版:我
Linux操作系统快速入门及使用教程
10-02
Linux 是一个类Unix 的操作系统,也正因此,它在服务器层面得到了 广泛的应用。Linux服务器应用相当专业,很多服务器软件都有集成在各个发行版 本中。系统安装完成后,只需经过简单的配置,就可以使用包括Web、FTP、E-Mail、 NNTP、Telnet、Samba 等服务。 近几年,Linux 在桌面应用方面也有长足的发展。以Red Hat 9.0 为例,系统已经 支持包括简繁体中文、英文在内的数十种语言文字,并且包含有丰富的字处理、图形、 多媒体、网络等方面的桌面应用软件。 现在,国内已经有越来越多的企业选择Linux 作为自己的操作系统平台,为Linux 提供软硬件支持的生产人员也已经越来越多。这当中即有热爱Linux 的程序员和他们 的忠实拥趸,也包括有金山、用友等消费类软件和行业软件厂商。此外,还有很多行 业如能源、保险、电子政务等也在开始使用Linux 操作系统。 中国信息产业部官员近期更是表示,Linux 对于我们在软件研发领域取得突破性进 展是一个良机,中国政府计划注资基于Linux 的计算机系统,中国将发展一个以Linux 为基础的国内软件行业。 如果说早前用户们或者还有踌躇的理由,现在,当我们面对在性能和稳定性上不会 逊于任何操作系统的Linux,我们作出选择时,已经没有太多的障碍。
Linux入门基础知识点大,有这篇就了。
qq_31725667的博客
10-03 3540
一、Linux操作系统概述 1、发展 1991 Linus Linux 0.0.1版,代码为8K行。现在最新版本为5.12.4。Linux加入了GNU,整体基于GPL协议,允许开源、分享传播、修改。 内核下载的地址:The Linux Kernel Archives 2、组成 kernel内核: 核心程序,用于管理硬件设备、系统的线程进程、内存、交换空间、文件系统、精灵进程(守护进程)等。主要实现系统程序与硬件之间的控制管理功能。 Shell: 包裹在内核之外的人机交互界面,用于用户和内核之间打交道
【嵌入式Linux笔记】第三篇:Linux应用开发基础(上)
致力于Linux的博客
04-15 1182
本篇致力于记录Linux应用开发的相关基础知识,为Linux应用开发工作奠定基础。知识资源主要来源于百问网韦东山老师视频与开发手册。若存在版权问题,请联系删除。
CTFshow-PWN入门-前置基础-
weixin_63576152的博客
07-31 5429
本文主要详解CTFshow中pwn入门系列的前置基础模块,共30道题所用工具:linux环境下的虚拟机、IDA Pro、exeinfope的博客以下操作中小编用的都是自己的kali环境。
Linux快速入门笔记(基础命令速查,含常用Shell)
大吉的博客
08-17 1225
目录前言Linux基础笔记整理Shell基础笔记整理一、最常用的基本命令二、Vim编辑器三、用户管理四、运行级别五、常用目录结构六、搜索查找类指令Shell篇十、Shell综合案例: 前言 笔者根据尚硅谷经典Linux教程(千万级学习人次,linux最新升级版) 学习并取其精华整理,以备日后忘掉。 本文档适用于工作中大部分基础Linux的使用和速查(善用ctrl + f 查找你忘记的命令),如果你是专业Linux运维请移步; 下附学习中整理的两张高清思维导图,如有需要可自取。谢谢大家! Linux基础笔记整
linux操作系统下c语言编程入门
lylone的专栏
10-22 2828
(一)目录介绍 1)Linux程序设计入门--基础知识 2)Linux程序设计入门--进程介绍 3)Linux程序设计入门--文件操作 4)Linux程序设计入门--时间概念 5)Linux程序设计入门--信号处理 6)Linux程序设计入门--消息管理 7)Linux程序设计入门--线程操作 8)Linux程序设计入门--网络编程 9)Linux下C开发工具介绍 (二)具体内容 1)Linux
Python代码中路径应该如何书写
09-08
在Python代码中,路径通常指的是文件系统中的文件或目录的路径。路径可以是相对路径,也可以是绝对路径。书写路径时,根据不同的操作系统,路径分隔符可能有所不同。 1. Windows系统中,路径使用反斜杠(`\`)作为分隔符,例如:`C:\Users\用户名\Documents\file.txt`。 2. Unix/Linux系统(包括Mac OS X)中,路径使用正斜杠(`/`)作为分隔符,例如:`/home/username/Documents/file.txt`。 在Python中,为了兼容不同操作系统,推荐使用`os.path.join`方法来构建路径,该方法会根据运行的操作系统自动选择正确的分隔符。此外,使用原始字符串(在字符串前加上前缀`r`)可以避免在Windows路径中的反斜杠被错误地解释为转义字符。 例如: ```python import os # 在Windows系统中使用原始字符串构建路径 path = r"C:\Users\username\Documents\file.txt" # 在Unix/Linux系统中使用原始字符串构建路径 path = r"/home/username/Documents/file.txt" # 使用os.path.join构建跨平台路径 path = os.path.join('/home', 'username', 'Documents', 'file.txt') # 或者 path = os.path.join('C:\\Users', 'username', 'Documents', 'file.txt') ``` 如果需要处理文件或目录的路径,Python提供了`os.path`模块,其中包含了很多路径操作的函数,如`os.path.abspath()`获取绝对路径,`os.path.dirname()`获取目录名,`os.path.basename()`获取文件名等。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值