<frame-relay 시리즈>
2023.03.16 - [네트워크 수업] - [실습] RIP, STATIC, 비밀번호, 서버 연결 23.03.16
2023.03.17 - [네트워크 수업] - [실습] RIP STATIC NAT 서버연결 + FTP설정 23.03.17
2023.03.20 - [네트워크 수업] - [실습] 23.03.20
2023.03.21 - [네트워크 수업] - [실습] 확장 ASL ping DoS공격 막기 23.03.21
2023.03.22 - [네트워크 수업] - [실습] ACL 확장 Password 시간지정 텔넷 ftp 23.03.22
R2(config)#ip access-list extended NO_ECHO
R2(config-ext-nacl)#deny icmp any any echo //car쓸땐 permit , 그냥 막을때 permit
R2(config-ext-nacl)#deny icmp any any echo-reply
R2(config-ext-nacl)#permit ip any any
R2(config-ext-nacl)#int s1/0.23
R2(config-subif)#$ 1500 2000 conform-action transmit exceed-action drop
R2(config-subif)#ip access-group NO_ECHO in
R2(config-subif)#do show run int s1/0.23
Building configuration...
Current configuration : 174 bytes
!
interface Serial1/0.23 multipoint
ip address 17.17.23.2 255.255.255.0
ip access-group NO_ECHO in //car도 들어갔고 액세스도 들어갔다. 마지막에 써주는게 앞에걸 덮어씌운다.
snmp trap link-status
frame-relay map ip 17.17.23.3 203 broadcast
end
R2(config-subif)#
===
R2에서 시간지정
R2(config)#time-range ?
WORD Time range name
R2(config)#time-range WORK_ONLY
R2(config-time-range)#periodic ?
Friday Friday
Monday Monday
Saturday Saturday
Sunday Sunday
Thursday Thursday
Tuesday Tuesday
Wednesday Wednesday
daily Every day of the week
weekdays Monday thru Friday
weekend Saturday and Sunday
R2(config-time-range)#periodic weekdays 09:00 18:00 ?
% Unrecognized command
R2(config-time-range)#periodic weekdays 09:00 to 18:00 ?
<cr>
R2(config-time-range)#periodic weekdays 09:00 to 18:00
R2(config-time-range)#exit
R2(config)#
=====
dns가 인터넷 안되게 (R2)막아주기 (dns(53)는 udp)
R2(config)#no access-list 100
R2(config)#access-list 100 deny udp 17.17.44.0 0.0.0.255 host 17.17.11.100 eq 53 //dns막기
R2(config)#access-list 100 deny tcp 17.17.44.0 0.0.0.255 host 17.17.11.100 eq 80 //서버 막기
//사실 둘중 하나만 막아도 인터넷 안되긴하지만 확실히 막아주자
ftp도 막아보자 (tcp 20,21번) 20번이 제어신호, 21번이 데이터 오가는 신호
R2(config)#access-list 100 deny tcp 17.17.44.0 0.0.0.255 host 17.17.11.100 eq 21
텔넷도 막아보자 (tcp 23)
R2(config)#access-list 100 deny tcp 17.17.44.0 0.0.0.255 host 17.17.11.00 eq 23
이제 다른거 다 허용
R2(config)#access-list 100 permit ip any any
R2(config)#int s1/0.23
R2(config-subif)#ip access-group 100 in
=================
vmware가서
2016서버 인터넷됨
701 인터넷됨
702 인터넷사용 기록 싹지우고 - 인터넷안됨
2016서버에서
dnsmgmt.msc
win 701가서
702에서 ping 17.17.11.100날리면 날아가야한다 //난왜 안날라가..
뭔 이름풀이도
ftp도 막아보자
2016에서
inetmgr.exe
win 701에서 알드라이브17.17.11.100으로 연결 - 잘연결된다
win702 안된다.
win2016을 텔넷서버로 바꿔보자
2016-서버관리자
다음-다음-다음-다음
앗...2016에는 텔넷클라이언트만 있고 텔넷서버는 없다...
과제>>
현제 R2의 access-list 를 named로 바꾸고 인터넷 근무시간만 deny하세요.
(힌트 : eq80만 time range를 적용하면된다)
R2(config-ext-nacl)#no access-list 100 //일단 지우고
R2(config)#ip access-list standard DENY_LIST
R2(config-std-nacl)#no ip access-list standard DENY_LIST
R2(config)#ip access-list extended DENY_LIST
R2(config-ext-nacl)#deny udp 17.17.44.0 0.0.0.255 host 17.17.11.100 eq domain time-range WORK_ONLY//53
R2(config-ext-nacl)#deny tcp 17.17.44.0 0.0.0.255 host 17.17.11.100 eq www time-range WORK_ONLY//80
R2(config-ext-nacl)#deny tcp 17.17.44.0 0.0.0.255 host 17.17.11.100 eq ftp time-range WORK_ONLY//20
R2(config-ext-nacl)#deny tcp 17.17.44.0 0.0.0.255 host 17.17.11.0 eq telnet time-range WORK_ONLY//23
permit ip any any
show run | begin DENY_LIST //DENY_LIST만 해준거 보이게 해주는 명령어
R2#show clock
*01:23:31.983 UTC Fri Mar 1 2002
//시간 안맞으니까 바꿔주기 - R2가 기준으로
R2#clock set 10:41:00 22 march 2023
R2(config)#ntp master
R1(config)#ntp server 17.17.2.2
702에서 ping 168.126.63.1날리면 안된다 왜? nat가 돌기때문에!!
과제>>
R1 에서 nat_pt 설정 해주기
서버와 33.0 44.0네트워크만 되게 해라.
//일단 기존설정 지우고(알아서 지우셈)
R1(config)#ip access-list standard NAT_OK //nat는 standard
R1(config-std-nacl)#permit 17.17.33.0 0.0.0.255
R1(config-std-nacl)#permit 17.17.44.0 0.0.0.255
R1(config-std-nacl)#permit 17.17.11.0 0.0.0.255
R1(config-std-nacl)#ip nat inside source list NAT_OK interface f0/1 overload
트러블슈팅)
안되면? 라우팅테이블을 점검해보자
R1 R2 R3 sh ip route// 디폴트 있는지 확인 => 다 들어있다.
R1에서 int ip int brief 해보니 f0/1에 맥주소와 dhcp아이피를 못받아왔다. 근데 저번시간에 BOGON을 막아줘서...그래서 안된거였음...
no ip access-list standard BOGON 해주고 다시 ip add dhcp하니까 ip 받아옴
701,702에 ping 168.126.63.1 날려보면 된다. (아까 안된것도 BOGON때문이었음...)
과제>>
R2의 텔넷 프로세스에서 33.0/24와 4.0/24를 막아보세요.
표준을쓴다.
R2]
access-list 10 deny 17.17.33.0 0.0.0.255
access-list 10 deny 17.17.4.0 0.0.0.255
access-list 10 permit any
R2(config)#line vty 0 4
R2(config-line)#access-class 10 in
R2(config-line)#password cisco
이제 확인해보자
ip telnet source-interface loo0 으로 해줘야 3.0은안막혔으니까!
33.0은 telnet접속 안되는것 알수있다.
그러고 R2가서 show ip access-lists해보면 33.0에 deny matches 3개가 뜬것을 확인할수있다.
과제]
위 설정을 제거하고 같은 내용으로 s1/0.23 의 인바운드에서 막아보세요.
//확장써야할지 표준써야할지 헷갈렸는데 확장이 맞다... -- 텔넷 tcp 로 막아야하니까!!!! (난 핑을 막는줄알았다..)
//+추가로 텔넷에선 왜 표준을써야할까? 이미 텔넷에 들어가있어서 특정이 되어있기때문에 굳이 확장을 쓸필요가 없다.
R2(config)#access-list 22 deny 17.17.33.0 0.0.0.255 R2(config)#access-list 22 deny 17.17.4.0 0.0.0.255 R2(config)#int s1/0.23R2(config-subif)#ip access-group 22 in
<내방법>
R2(config)#access-list 100 deny ip 17.17.33.0 0.0.0.255 host 17.17.23.2
R2(config)#access-list 100 deny ip 17.17.4.0 0.0.0.255 host 17.17.23.2
R2(config)#int s1/0.23
R2(config-subif)#ip access-group 100 in
<선생님방법>
R2(config)#access-list 100 deny tcp 17.17.33.0 0.0.0.255 any eq 23
R2(config)#access-list 100 deny tcp 17.17.4.0 0.0.0.255 any eq 23
R2(config)#access-list 100 deny ip any any
R2(config)#int s1/0.23
R2(config-subif)#ip access-group 100 in
**
R2(config-subif)#line vty 0 4
R2(config-line)#no access-class 33 in
R2(config-line)#password cisco
이거 다시한번 해줘야 telnet막기 지워줬는데 R3에서 R2로 텔넷들어가고 다시 안빠져나온거에 오류 안생긴다.
**
'네트워크 수업' 카테고리의 다른 글
| [실습] IPv6 load balancing (2) 23.03.23 (0) | 2023.03.23 |
|---|---|
| [실습] IPv6 (1) 23.03.23 (0) | 2023.03.23 |
| [실습] 확장 ASL ping DoS공격 막기 23.03.21 (0) | 2023.03.21 |
| [실습] RIP ACL prefix-list distribute-list Password 23.03.21 (0) | 2023.03.21 |
| [총정리] nat 23.03.20 (0) | 2023.03.20 |
댓글