ACL扩展访问控制列表详解
admin
2023-03-30 10:41:21
0

ACL扩展访问控制列表详解

本章实验:

允许win10-1访问linux的web服务

禁止win10-1访问linux的其他服务

允许win10访问win10-2主机

ACL扩展访问控制列表详解

ACL扩展访问控制列表详解

1.配置GNS3

ACL扩展访问控制列表详解

三台主机,一台路由器
win10 -1 :绑定VMnet1网卡
win10-2:绑定VMnet2网卡
linux:绑定VMnet8网卡作为测试
f0/0:192.168.1.1/24
f1/0:192.168.2.1/24
f10/1:192.168.100.1/24

2.配置linux服务器,安装两个服务VSFTPD,HTTPD

[root@localhost ~]# yum install vsftpd -y
已加载插件:fastestmirror, langpacks
Loading mirror speeds from cached hostfile
 * base: mirrors.163.com
 * extras: mirrors.cn99.com
 * updates: mirrors.cn99.com
正在解决依赖关系
--> 正在检查事务
---> 软件包 vsftpd.x86_64.0.3.0.2-25.el7 将被 安装
--> 解决依赖关系完成

[root@localhost ~]# yum install httpd -y
已加载插件:fastestmirror, langpacks
Loading mirror speeds from cached hostfile
 * base: mirrors.163.com
 * extras: mirrors.cn99.com
 * updates: mirrors.cn99.com
正在解决依赖关系
--> 正在检查事务

3.把linux服务器绑定VMnet8网卡

ACL扩展访问控制列表详解

4.把linux服务器设置静态IP地址

[root@localhost ~]# vim /etc/sysconfig/network-scripts/ifcfg-ens33

TYPE=Ethernet
PROXY_METHOD=none
BROWSER_ONLY=no
BOOTPROTO=static
DEFROUTE=yes
IPV4_FAILURE_FATAL=no
IPV6INIT=yes
IPV6_AUTOCONF=yes
IPV6_DEFROUTE=yes
IPV6_FAILURE_FATAL=no
IPV6_ADDR_GEN_MODE=stable-privacy
NAME=ens33
UUID=849aa04e-1874-490f-8cb0-b2fde4b9a6f8
DEVICE=ens33
ONBOOT=yes
IPADDR=192.168.100.100
NETMASK=255.255.255.0
GATEWAY=192.168.100.1

[root@localhost ~]# systemctl restart network

重启linux服务器

5.给win10 -1和win10 -2绑定网卡

ACL扩展访问控制列表详解

ACL扩展访问控制列表详解

6.win10-2设置固定IP地址

ACL扩展访问控制列表详解

7.win10-1设置固定IP地址

ACL扩展访问控制列表详解

8.回到GNS3给接口配置地址

R1#conf t
R1(config)#int f0/0
R1(config-if)#ip add 192.168.1.1 255.255.255.0
R1(config-if)#no shut
R1(config-if)#int f0/1
R1(config-if)#ip add 192.168.100.1 255.255.255.0
R1(config-if)#no shut
R1(config-if)#int f1/0
R1(config-if)#ip add 192.168.2.1 255.255.255.0
R1(config-if)#no shut
R1(config-if)#ex
R1(config)#do show ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area 
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route

Gateway of last resort is not set

C    192.168.1.0/24 is directly connected, FastEthernet0/0
C    192.168.2.0/24 is directly connected, FastEthernet1/0
C    192.168.100.0/24 is directly connected, FastEthernet0/1

9.把win10 -1和win10-2防火墙都关掉

ACL扩展访问控制列表详解

10.用win10-2去pingwin 10 -1,看看能不能连通

C:\Users\CHEN>ping 192.168.1.2

正在 Ping 192.168.1.2 具有 32 字节的数据:
来自 192.168.1.2 的回复: 字节=32 时间=19ms TTL=127
来自 192.168.1.2 的回复: 字节=32 时间=18ms TTL=127
来自 192.168.1.2 的回复: 字节=32 时间=14ms TTL=127
来自 192.168.1.2 的回复: 字节=32 时间=15ms TTL=127

11.linux开启两个服务,并写两个文件内容

root@localhost chen]# systemctl stop firewalld.service
root@localhost chen]# setenforce 0
[root@localhost chen]# cd /var/www/html
[root@localhost html]# vim index.html 

this is test web

[root@localhost html]# ls
index.html
[root@localhost html]# systemctl start httpd
[root@localhost html]# systemctl start vsftpd
[root@localhost html]# cd /var/ftp
[root@localhost ftp]# ls
pub
[root@localhost ftp]# echo "this is ftp" > ftp.txt
[root@localhost ftp]# ls
ftp.txt  pub
[root@localhost html]# netstat -nuap | egrep '(21|80)'
udp        0      0 192.168.122.1:53        0.0.0.0:*                           1380/dnsmasq        
udp        0      0 0.0.0.0:67              0.0.0.0:*                           1380/dnsmasq

12.去win10-1测试能不能访问192.168.100.100两个服务是不是都能访问

ACL扩展访问控制列表详解

ACL扩展访问控制列表详解

13.回到GNS3开始配置ACL扩展访问控制列表

R1#conf t
R1(config)#access-list 100 permit tcp host 192.168.1.2 host   192.168.100.100 eq www  
//扩展的序列号100-199,允许tcp协议,固定地址192.168.1.2去访问
192.168.100.100 后面跟端口号80也可以是名字
R1(config)#do show access-list  //查看访问控制列表
Extended IP access list 100
    10 permit tcp host 192.168.1.2 host 192.168.100.100 eq www
R1(config)#access-list 100 deny ip host 192.168.1.2 host 192.168.100.100
R1(config)#do show access-list                                          
Extended IP access list 100
    10 permit tcp host 192.168.1.2 host 192.168.100.100 eq www
    20 deny ip host 192.168.1.2 host 192.168.100.100
R1(config)#access-list 100 permit ip host 192.168.1.2 192.168.2.0 0.0.0.255
R1(config)#do show access-list                                             
Extended IP access list 100
    10 permit tcp host 192.168.1.2 host 192.168.100.100 eq www
    20 deny ip host 192.168.1.2 host 192.168.100.100
    30 permit ip host 192.168.1.2 192.168.2.0 0.0.0.255
R1(config-if)#ip access-group 100 in  //应用在接口,离限制方最近的端口,是入口方向。

ACL扩展访问控制列表配置好后,测试win10-1能不能访问ftp服务

ACL扩展访问控制列表详解

我们的实验就成功了

上一篇:k8s之helm

下一篇:构建RAID磁盘阵列

相关内容

热门资讯

中美联合侦破跨国走私贩毒案,抓... 4月初,中国公安部禁毒局和美国司法部缉毒署成功联合侦破郭某等人走私贩毒案,同步在中国辽宁、广东,美国...
多名网友收到广东地震局短信,官... 5月11日上午,多名广东网友发帖称,自己收到了广东地震局的短信,短信内容如下:【广东省地震局】温馨提...
130公斤黄金!特大走私团伙被... 去年3月,深圳海关在一次例行查验中,从三名旅客的行李箱内查获大量黄金手镯、戒指。这看似偶然的查获,背...
当患者开始自我诊断,谁来为他们... 打开社交软件,“科技减肥”的种草帖暗藏玄机,直播间里“不用运动、轻松躺瘦”的广告轮番刷屏。前脚向各类...
台电弃用于右任题词,沈富雄轰荒... 海峡导报综合报道 台电(台湾电力公司)招牌标志(Logo)字体已经从于右任版,更换成亲绿设计师聂永真...
107平,装下来大概需要多少钱... 这个话还需要您和设计师详细沟通下呢,因为每个人的需求不太一样,我随便给您报价也是对您的不负责任,您看...
800-800瓷砖一平方需要多... 一平方也就是1米×1米这么大个地方,那么800×800的瓷砖也就是0.8米左右的尺寸。这样换算起来就...
装修130平的房子需要多少费用 简约装修:每平米600至1000元,半包300至500元,130平米的房子装修,7.8至13万,半包...
16a转10a插座转换器安全吗 个人觉得16a转10a插座转换器并不怎么安全,因为16a的功率会比较大一些,如果使用一些大功率的电器...
空调多大匹数对应多少面积 问题:空调多大匹数对应多少面积回答:1、对于空调来说,如果选择匹数的话,一定要和房屋的面积成对等,一...