linux端口访问控制列表,常见的ACL访问控制列表

最新推荐文章于 2024-02-24 00:15:31 发布
最新推荐文章于 2024-02-24 00:15:31 发布
阅读量607 收藏 1
点赞数
文章标签: linux端口访问控制列表

常见的ACL分标准访问控制列表、扩展访问控制列表和命名访问控制列表,不同的场合应用不同的访问控制列表。

1、 标准访问控制列表

一个标准IP访问控制列表匹配IP包中的源地址或源地址中的一部分,可对匹配的包采取拒绝或允许两个操作。编号范围是从1到99的访问控制列表是标准IP访问控制列表。

2、 扩展访问控制列表

扩展IP访问控制列表比标准IP访问控制列表具有更多的匹配项,包括协议类型、源地址、目的地址、源端口、目的端口、建立连接的和IP优先级等。编号范围是从100到199的访问控制列表是扩展IP访问控制列表。

3、 命名访问控制列表

所谓命名的IP访问控制列表是以列表名代替列表编号来定义IP访问控制列表,同样包括标准和扩展两种列表,定义过滤的语句与编号方式中相似。

ACL的应用很广泛,可以实现如下功能:

1、 允许或者拒绝信息流入(或者流出)的数据流通过特定的接口;

2、 为DDR应用定义感兴趣的数据流;

3、 过滤路由更新的内容;

4、 控制对虚拟终端的访问;

5、 提供流量控制;

实验拓扑图

2ade18481c8fb23302e5807aa56a0368.png

实验一:标准访问控制列表

搭建实验环境

本实验目的是:拒绝PC2所在网段访问路由器R2,同时允许主机PC3访问路由器R2,整个网络配置EIGRP保证IP的连通性。

这里以R2路由器为例:

R2(config)# router eigrp 1

R2(config-router)#no auto-summary

R2(config-router)#network 2.2.2.0 0.0.0.255

R2(config-router)#network 192.168.12.0

*Mar 1 00:20:59.071: %DUAL-5-NBRCHANGE: IP-EIGRP(0) 1: Neighbor 192.168.12.1 (Serial1/0) is up: new adjacency

R2(config-router)#network 192.168.23.0

R2(config-router)#exit

在路由器R2上查看路由信息

beb1f985ff89cc7cf3c947e717dd6353.png

R2(config)#access-list 1 deny 172.16.1.0 0.0.0.255 //定义ACL列表1

R2(config)#access-list 1 permit any

R2(config)#interface serial 1/0

R2(config-if)#ip access-group 1 in //在Serial1/0接口上应用ACL1列表

R2(config)#access-list 2 permit 172.16.3.1 //定义ACL列表2

R2(config)#line vty 0 4

R2(config-line)#access-class 2 ?

in Filter incoming connections

out Filter outgoing connections

R2(config-line)#access-class 2 in //在line vty 0 4 下应用ACL2列表

R2(config-line)#password cisco

R2(config-line)#login

R2(config-line)#exit

【注】:

1、 访问控制列表表项按自上而下的顺序进行,并且从第一个表项开始,所以必须考虑在访问控制列表中定义列表的顺序;

2、 路由器不对自身产生的IP包进行过滤;

3、 访问控制列表最后一条是拒绝所有;

4、 每一个路由器接口的每一个方向,每一种协议只能创建一个ACL;

5、 “Access-class”只对标准访问控制列表有效;

实验调试

在R2路由器上查看已经定义的IP访问控制列表

82a4360fb2c64904556e3044ccfe88bf.gif

以上输出表明路由器R2上定义的标准访问控制列表为1和2,括号中的数字表示匹配条件的数据包的个数,可以用“clear access-list counters”将访问控制列表计数器清零。

在R2路由器上产看Serial1/0接口信息

a606ab0bdafab446372472396fdbf0f1.gif

以上输出表明哎接口Serial1/0的入方向上应用了访问控制列表1。

接下来就来测试PC1、PC2、PC3与路由器R2的连通性。

在PC1网络的主机上ping 2.2.2.2 是可以通的,在PC2网络所在的主机上ping 2.2.2.2 是不通的, 在主机PC3上Telnet2.2.2.2是可以成功的。

a0bc3cadaae1865c99caf33072b1a745.gif

实验二扩展访问控制列表

实验拓扑图如实验一

本实验目的是:允许PC2所在的网段内的主机访问路由器R2上2.2.2.2机器的WWW和Telnet服务,并拒绝PC3所在的网段内主机ping 路由器R2。删除实验一中的ACL。保留EIGRP的配置。

实验步骤,

配置路由器R2

R2(config)#access-list 100 permit tcp 172.16.1.0 0.0.0.255 host 2.2.2.2 eq www

R2(config)#access-list 100 permit tcp 172.16.1.0 0.0.0.255 host 2.2.2.2 eq telnet

R2(config)#interface serial 1/0

R2(config-if)#ip access-group 100 in

配置路由器R3

d385aac8ba2360ab98b2b8ebb3665d31.png

参数log会生成相应的日志信息,用来记录经过ACL入口的数据包的情况,

尽量考虑将扩展访问控制列表放在靠近过滤源的位置上,这样创建的过滤器就不会反过来影响其他接口上的数据流。另外,尽量将标准访问控制列表放在靠近目的端的位置上,由于标准访问控制列表只是用源地址,如果将其靠近源地址会阻止数据包流向其他的端口。

实验调试:

在PC3所在的网段ping路由器R2。在R3上显示的信息为:

d2900881aaff220b3f3bb92f5781f762.png

以上输出说明访问控制列表101在有匹配数据包时,系统做了日志。

在R3上查看访问列表。

4f48784f995e2246f74dd4e1f4627ea6.png

誉儿他爸
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Linux开启mysql远程访问功能.docx
12-05
通常,只授予必要的权限,并使用更安全的身份验证方法,如SSL连接或使用访问控制列表ACL)限制特定IP的访问。 此外,考虑防火墙设置。如果你的服务器使用`ufw`或`iptables`等防火墙,确保3306端口对所需IP开放: ...
访问控制列表ACL的配置与使用
weixin_33806300的博客
01-04 610
访问控制列表ACL的配置与使用 访问控制列表,即Access Control List,以下简称ACL,是路由器、交换机等网络设备上最常用的功能之一。可以说大多数的网络协议都跟ACL有着千丝万缕的联系,所以要弄清楚ACL的用法非常重要。 实际上,ACL的本质就是用于描述一个IP数据包、以太网数据帧若干特征的集合。然后根据这些集合去匹配网络的流量(由大量数...
LinuxACL访问控制列表
最新发布
2302_76638140的博客
02-24 848
访问控制列表
网络安全各设备的主要功能(上)
weixin_42094758的博客
06-28 1120
1.核心防火墙 部署在网络安全域的边界处,对网络数据流进行细粒度(IP地址、TCP/UDP端口、ICMP类型等)的控制,允许合法的网络数据传递,拒绝非法网络通信; 可以根据会话状态信息为数据流提供明确的允许/拒绝访问; 控制端口以及对会处于非活跃一定时间内或会话结束后终止连接; 限制某个IP的连接数和并发数; 可以阻止非法探测和访问; 屏蔽内部端口,防止来自外部网络的扫描探测和非法攻击 2.负载均衡设备 服务器负载均衡主要是对访问服务器和服务器返回的流量进行管理,通过多种静态..
ACL访问控制列表——命名访问控制列表(实操!!!)
xy706858376的博客
10-24 1843
命名访问控制列表可灵活的调整策略,前提是在标准访问列表以及扩展访问列表的基础上,可以使用no+ACL号删除策略.也可以使用ACL号+permit+ip追加ACL策略 实验环境 一台二层交换机 一台三层交换机 四台pc机 实验需求 允许vlan10pc2可以访问pc1 拒绝vlan10其他访问pc1 允许其他网段的主机访问pc1 实验拓扑图 1,配置sw二层交换机 sw#conf t ...
linux ACL访问控制列表
WTYX666的博客
02-20 203
访问控制
Acl.rar_ACL
09-21
**ACL访问控制列表)详解** 访问控制列表(Access Control List,简称ACL)是一种在网络及计算机安全领域广泛使用的机制,用于实现对网络资源或文件系统的精细化访问控制。在操作系统和网络设备ACL允许管理...
acl.rar_ACL_control
09-19
在IT行业访问控制列表(Access Control List,简称ACL)是一种重要的安全机制,它用于管理对资源的访问权限。QEMU,全称Quick Emulator,是一个功能强大的开源虚拟化软件,能够模拟各种CPU架构和硬件环境。在...
如何在 Linux 安装、设置和使用 SNMP?.docx
08-10
* 限制 SNMP 访问权限:通过配置访问控制列表ACL)或防火墙规则,限制允许访问 SNMP 代理的主机和网络。 * 加密 SNMP 通信:通过使用 SNMPv3 协议,启用加密和身份验证,以保护 SNMP 通信的安全。
基于Linux操作系统平台的服务器安全策略.pdf
09-06
通过访问控制列表ACL)和权限控制机制(如POSIX权限或ACLs)管理用户对文件和目录的访问权限。 8. **备份与恢复策略** 定期备份重要数据,确保在遭受攻击或系统故障时能迅速恢复服务。备份应存储在安全的位置,...
Linux学习-32-ACL访问控制权限
时光
11-10 829
Linux学习-32-ACL访问控制权限
Linux ACL访问权限控制详解
weixin_34293911的博客
11-26 512
在普通权限Linux用户对文件只有三种身份,就是属主、属组和其他人;每种用户身份拥有读(read)、写(write)和执行(execute)三种权限。但是在实际工作,这三种身份实在是不够用,我们举个例子来看看。图 1 的根目录一个 /project 目录,这是班级的项目目录。班级的每个学员都可以访问和修改这个目录,老师也需要对这个目录拥有访问和修改权限,其他班级的...
ACL命名访问控制列表
weixin_44988134的博客
10-18 1172
一、命令IP访问列表: 所谓命名的IP访问控制列表是以列表名代替列表编号来定义IP访问控制列表,因为一般访问控制列表,我们只要删除其一个条目,那么所有的条目都已经被删除了,所以增加了我们修改的难度,而名称列表可以达到任意添加修改和删除某一特定的ACL个别的控制条目的效果。 (1)创建命名访问列表:router(config)#ip access-list {extended or standa...
Linux ACL学习笔记(zt)
congsikuai0611的博客
05-10 276
1. 为什么要使用ACL先让我们来简单地复习一下Linux的file permission. 在linux下,对一个文件(或者资源)可以进行操作的对象被分为三类: file owner(文件的拥有者), group(组,注意不一...
RHCSA12日
mh007的博客
11-26 683
今日作业: 20211124 1.查询ip的几种方式: ip, ifconfig, nmcli,nmtui 2.nmcli命令使用: a.在ens160网卡上新建连接static_con,并配置静态ip b.在ens160网卡上新建连接auto_con, 配置动态ip c.修改static_con的ip的方式: nmtui,nmcli c modify, nmcli c edit, 修改配置文件 d.激活static_con的方式: up, reapply, reload, load e...
linux nfs acl 特定ip,Linux NFS配置
weixin_35599933的博客
05-05 972
nfs服务器一、安和启动nfs1、安装nfsyum -y install nfs-utils-*_64 nfs4-acl-tools*.642、启动nfs#启动nfs要先启动rpc服务,6.0之后rpcbind和rpcidmap是默认的rpc服务#如果没有启动rpc则会报错,造成用户权限映射错误rpc.nfsd: unable to set any sockets for nfsdservice ...
linux nfs acl 特定ip,Linux Kernel NFS完成设置ACL访问控制绕过漏洞_网络技术
weixin_32137855的博客
05-05 356
网络技术是从1990年代期发展起来的新技术,它把互联网上分散的资源融为有机整体,实现资源的全面共享和有机协作,使人们能够透明地使用资源的整体能力并按需获取信息。资源包括高性能计算机、存储资源、数据资源、信息资源、知识资源、专家资源、大型数据库、网络、传感器等。 当前的互联网只限于信息共享,网络则被认为是互联网发展的第三阶段。受影响系统:Linux kernel < 2.6.14.5S.u....
运维ACL访问控制简单配置
weixin_34128411的博客
03-28 425
问题沿用练习三,编写并应用ACL策略,实现以下要求:允许网段192.168.4.0/24在周一到周五的09:30至18:00通过代理访问外网IP地址是192.168.4.205的主机在任何时间都不可以通过代理访问外网4.2 方案通过acl指令定义ACL访问控制权限。通过http_access应用ACL访问控制列表。http_access策略及规则顺序:http_access根...
Linux访问控制列表ACL
oldboy1999的博客
12-21 1459
Linux访问控制列表ACL
linux squid禁止用户访问端口22—23、80、135—139、445。
05-11
要禁止用户访问指定端口,可以使用Squid的ACL访问控制列表)功能。以下是一个示例配置: ``` acl bad_ports port 22-23 80 135-139 445 http_access deny bad_ports ``` 第一行定义了一个名为“bad_ports”的ACL,其包含22-23、80、135-139和445端口。第二行使用“deny”关键字拒绝所有尝试访问“bad_ports”指定端口的请求。 将这些行添加到Squid配置文件,并重新启动Squid服务,即可禁止用户访问指定的端口

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值