acl在内核里的位置_访问控制列表详解（ACL）

什么是访问控制列表？

之前学习的都是让网络如何连通

今天是在网络连通环境基础上来进行相应的限制

虽然网络是连通的，但是不允许通信的主机就不能访问，或者说允许访问的是哪个主机，以及访问主机里的什么服务可以做更加细化的限制

所以叫访问控制

网络当中访问控制的对象是谁？是某个节点当中的主机。如何标识和区分呢？得用到IP地址。哪个IP地址的主机可以访问，或者说可以访问的哪个IP地址的主机以及该主机当中的具体哪个服务，因此有关于ACL访问控制可以对第几层信息进行过滤？网络层也就是第三层，要看地址是被允许的还是被拒绝的。

控制访问的是主机以及主机里的服务，那么服务用端口号来标识。

因此ACL访问控制不仅对三层信息(也就是网络层信息)进行过滤，还可以对四层信息进行过滤，要读取IP地址里的数据包和端口号，再根据预告定义好的规则，对数据包做一个过滤。

访问控制列表(ACL)的作用

-读取第三层、第四层包头信息

-根据预告定义好的规则对包进行过滤

小结：ACL访问控制列表，就是在链路连通的基础上，看是被允许的还是被拒绝的，进行一个有效的访问控制。

访问控制列表的工作原理(不仅要定义规则而且要将规则应用到接口上)

访问控制列表在接口应用的方向

-出：已经过路由器的处理，正离开路由器接口的数据包

-入：已经到达路由器接口的数据包，将被路由器处理

-列表应用到接口的方向与数据方向有关

接下来重点了解访问控制列表处理语句的过程

有一个严格的匹配顺序

拒绝和允许都不匹配才会允许读下一条

访问控制列表的处理过程：如果匹配第一条规则，则不再往下检查，路由器将决定该数据包允许通过或拒绝通过。如果不匹配第一条规则，则依次往下检查直到有任何一条规则匹配。如果最后没有任何一条规则匹配，则路由器根据默认的规则将丢弃该数据包。

访问控制列表的类型：

1、标准访问控制列表

-基于源IP地址过滤数据包

-标准访问控制列表的访问控制列表号是1~99

(基于源IP，也就是说只要源匹配则通过或者拒绝)

2、扩展访问控制列表

-基于源IP地址、目的IP地址、指定协议、端口来过滤数据包

-扩展访问控制列表的访问控制列表号是100~199

(不仅要源IP还要看你访问谁，也就是目的IP，不仅访问源目标以及目标里边的服务，服务对应的有协议和端口)

区分标准访问控制和扩展访问控制要根据列表号来区分。

3、命名访问控制列表

-命名访问控制列表允许在标准和扩展访问控制列表中使用名称代替表号。

(也就是说命名既有标准的命名又有扩展的命名)

首先学习标准访问控制列表

先准备一个网络连通的环境，再通过标准访问控制让其不通来验证。

起初的环境都允许访问，下图给主机配IP地址和网关&