본문 바로가기
네트워크 수업

[실습] frame-relay static rip 23.03.20

by 6^6 2023. 3. 20.
728x90

<frame-relay 시리즈>

2023.03.16 - [네트워크 수업] - [실습] RIP, STATIC, 비밀번호, 서버 연결 23.03.16

2023.03.17 - [네트워크 수업] - [실습] RIP STATIC NAT 서버연결 + FTP설정 23.03.17

2023.03.20 - [네트워크 수업] - [실습] 23.03.20

2023.03.21 - [네트워크 수업] - [실습] 확장 ASL ping DoS공격 막기 23.03.21

2023.03.22 - [네트워크 수업] - [실습] ACL 확장 Password 시간지정 텔넷 ftp 23.03.22

ACL 접근 제어 목록(access control list)

Bogon IP란?

Private IP(사설), Reserved IP(예약된), IANA에서 아직 할당되지 않은 주소 등을 총칭한다. 일반적으로 우발적이나 악의적으로 잘못된 구성의 결과이기 때문에 대부분의 ISP와 end-user의 firewall은 이를 필터링한다

 

사설아이피(10/8 192.168/16, 172.16/12)

 

 

f0/1에서 들어오는 Bogon주소를 와일드주소로 막을거다

R1

넘버드로

confi ter

access-list 1 deny 10.0.0.0 0.255.255.255 //첫번째 사설 아이피 주소 막기

access-list 1 deny 172.16.0.0 0.15.255.255 //서브넷 12비트니까  경우의수 15

access-list 1 deny 192.168.0.0 0.0.255.255

access-list 1 permit any //꼭해줘야함.

show ip access-list 

 

int f0/1

ip access-group 1 in 

 

 

 

네임드로 바꿔라

ip access-list standard BOGON
deny 10.0.0.0 0.255.255.255
deny 172.16.0.0 0.15.255.255
deny 192.168.0.0 0.0.255.255
permit any
exit
no access-list 1
int f0/1
no ip access-group 1 in
ip access-group BOGON in

 

과제>>

R1이 목적지이고 17.17.44.0 /24에서 출발하는 텔넷 접근을 R1의  텔넷프로세스에서 막으세요

단, 번호를 쓰는 표준엑세스리스트를 사용.

 

출발지 ip 를 알고 포트넘버까지 아는것??.?? => 쨌든 굳이 확장을 쓰지 않아도된다. 라인에서 하는거니까?

 

R1]

access-list 2 deny 17.17.44.0 0.0.0.255 
access-list 2 permit any
line vty 0 4

password cisco 
access-class 2 in

win702

702에서 ping 17.17.12.1 은 잘되지만 telnet은 막히는 것을 알 수있다.

 

 

2016에서 바인딩 17.17.11.100 해주고

윈 702 701  에서 17.17.11.100 크롬에서 켜주면 연결 잘됨

 

과제2>> 위 내용을 지우고 33.0/24 에서 출발하고 R1이 목적지인 텔넷 프로세스를 막는 네임드 표준엑세스리스트로 고치세요.

 

R1]

ip access-list standard BLOCK

deny 17.17.33.0 0.0.0.255 
permit any

 

line vty 0 4

no access-list 2 in //access-list 가 있든없든 그냥 이렇게해도 상관x , 아님 no access-list 2를 해주던가 둘다하는게 best

access-class BLOCK in

701에서 확인해보면 refuse되는거 확인

 

과제3>>

위 과제 2의 내용을 텔넷 프로세스가 아닌 R2 시리얼 라인의 인바운드로 적용해보세요.

R2(config-std-nacl)#deny 17.17.33.0 0.0.0.255
R2(config-std-nacl)#permit any
R2(config-std-nacl)#exit
R2(config)#int s1/0.23

앗.. 이렇게하면 telnet뿐만아니라 17.17.33.0에서 출발하는 모든것이 다 막힌다. 프로토콜이나 어떤게 특정되지않았으니까

 

telnet은 tcp

no ip access-list standard NET33_TELNET //다시 지워주고
R2(config)#access-list 100 deny tcp 17.17.33.0 0.0.0.255 host 17.17.12.1 eq 23 //출발지=17.17.33.0 // 목적지 = host 17.17.12.1 = 17.17.12.1 0.0.0.0 //eq 23 ftp 포트넘버는 23

//프로토콜엔 지정해줘야해서 ip any가 들어가야함 . 확장에선 지정안해줘도됨.

//rip과 static의 경계에서 막아야한다. 어디로 가는걸 막는걸 지정해주는 건 상관없다. 17.17.12.1로 가는걸 막기

access-list 100 permit ip any any //꼭 해줘야함.

 

이제

int s1/0.23
R2(config-subif)#ip access-group 100 in

//이렇게 해주면 33에서 들어오는 텔넷은 거부가된다.

 

702에서 secureCRT 17.17.12.1해보면 가능

701에서는 refuse

728x90
저작자표시 비영리 변경금지

'네트워크 수업' 카테고리의 다른 글

[총정리] nat 23.03.20  (0) 2023.03.20
[총정리] static 라우팅 23.03.20  (0) 2023.03.20
[실습] RIP STATIC NAT 서버연결 + FTP설정 23.03.17  (0) 2023.03.17
Distribute List 와 Prefix-List 와 access-List  (0) 2023.03.17
[리눅스] 23.03.16  (0) 2023.03.16

관련글

댓글

티스토리툴바