RE: ACL - Help!

Sau khi thêm dòng
Access-list 100 permit udp any any gt 1023

vào access-list 100 thì đươc. Hóa ra là traffic udp cũng dùng port > 1023.

Anh

Quá trình hoạt động của một TFTP client khi kết nối đến TFTP server như sau (các bạn chú ý đến source port và des port)

1. Host A sends a "RRQ" to host B with
source= A's TID, destination= 69.
2. Host B sends a "DATA" (with block number= 1) to host A with
source= B's TID, destination= A's TID.
3. Host A sends an "ACK" (with block number= 1) to host B with
source= A's TID, destination= B's TID.
...
(TID=Transfer IDentifier)

Ví dụ cụ thể:
1. Host A sends a "RRQ" to host B with
source= 3210, destination= 69.
2. Host B sends a "DATA" (with block number= 1) to host A with
source= 1145, destination= 3210.
3. Host A sends an "ACK" (with block number= 1) to host B with
source= 3210, destination= 1145.

Các bạn có thể xem thêm trong RFC1350 hoặc IEN133!

Vì vậy ACL của anhtt72 viết là hoàn toàn chính xác.

<config>#access-list 100 permit udp any any eq tftp
<config>#access-list 100 permit udp any any gt 1023
<config>#int e0
<config-if>ip access-group 100 in

to rose
Các ACL đều có implicit deny ở cuối cùng, nên ACL chỉ có một dòng lệnh permit như trên sẽ chặn tất cả những cái còn lại.
Thân!

RE: ACL - Help!

Xin được trình bày ý của anh Thông như sau (không biết có dễ hiểu hơn không)

Giả vở:
....server = Host_A (Ở đây không giới hạn là bạn dùng dịch vụ gì)
....Client = Host_B (Tùy theo loại dịch vụ mà bạn dùng)

Để khởi tạo một phiên kết nối, cần có các thông tin như sau:
....Địa chỉ IP (cho cả nguồn và đích)
....Địa chỉ MAC (cho cả nguồn và đích)
....Số hiệu cổng (port number) = là ID cho phép phân biệt giữa các loại dịch vụ với nhau (cho cả nguồn và đích)
Về IP add và MAC add ta không bàn. Nhưng để làm ACL thì port number rất quan trọng. Vì ACL cho phép bạn filter cái packet dự trên ip add hoặc port number hoặc protocol hoặc application hoặc tất (với cả nguồn và đích) (tất nhiên là mới ex ACL)
Các dịch vụ khác nhau thì có port number khác nhau (ví dụ: HTTP = 80, FTP-data = 20, FTP = 21, TFTP = 69...) cái này gọi là service port
Các client muốn truy suất dịch vụ của server đó thì nó phải gửi một gói tin đến server trong đó có các trường sau:
.... source port (cái này gọi là client port, nó được sinh ngãu nhiên nhưng trong dải > 1023)
.... destination port (cái này dùng sevice port với TFTP thì dùng là 69 còn đặc biệt với FTP thì bạn dùng cả 20 và 21)
.... destination and source IP
vvv
Có nghĩa là nếu bạn muốn cho phép Client kết nối đến Server thì bạn phải cho phép gói tin khởi tạo có source port > 1023 đi qua.
Gói tin từ server trở về client thì ngược lại...
Câu lẹnh ACL khà là nhiều opption và nó có ý nghĩa hơi bị hay, bạn thử đọc lại sách xem...

Không biết đã đúng - đủ chưa, bạn nào có ỳ kiến !!!!!!!!!!!!!!!!!!!!

Thân 2!

Thank 1'hpsky!

humm, giống như kiểu bắt tay 3 bước trong UDP!mặc định Port=69 là dành cho TFTP!

Nhưng có phải là gt>1023 là do user defined ?!

Trong ICND ko nói rõ phần này lém!

Cái này emThuy nói rõ rồi, đọc lại xem.

Vậy bạn kiếm 4 cuốn mấy anh em học Academic học ấy ở đó nói, còn có rõ hay không thì... đọc đi hãy phán.

Client port có thể do các ứng dụng gọi ra (kiểu như mấy con virus ấy) nhưng với một ứng dụng thông thường thì nó là random
Bạn có biêt tại sao UDP được dùng cho các ứng dụng không đụng chạm đến độ tin cậy mà cần tốc độ không (TFTP chẳng hạn)????

Thân 2!

ACL Lab?

Mình thấy câu này được hỏi trong ******** rất nhiều, nhưng đáp án của nó không hợp lý:

RE: ACL Lab?

Mình post lộn hình, bạn xem hình dưới rồi hãy xem hình trên
Theo mình chỉ cần dùng 3 dòng lệnh này thôi:
1/ (config)#Access-list 1 deny any
2/ (config)#line vty 0 4
3/ (config-line)#access-class 1 in

như vậy là đủ cấm telnet rồi, đâu cần dùng rắc rối như đáp án của TK ?

đúng rồi đấy, tôi cũng thấy nó bất hợp lý lém.

Access-list

các bạn có thể giải thích hộ mình in & out o truong hop nay co nghia la gi ???
access-list 102 permit 192.168.2.0 0.0.0.255 eq 25
interface s0
ip access-group 102 in
access-list 102 permit 192.168.2.0 0.0.0.255 eq 25
interface s0
ip access-group 102 out
thankyou very much!!!!

in : tức là các traffice đi đến S0
out : Tức các traffice đi từ S0 ra ngoài !

tuc la chi cho phep dia chi 192.168.2.0 su dung smtp vao, ra qua S0 cua ban con cac service khac thi bi block het.

minh nghi la cac giao thuc SMTP ra vao tu dia chi 192.168.2.0 qua S0 la ok

hic đếch biết ông nào cấu hình như vậy thì ....
nói chung các ACL mà bạn nói hình như bạn mới chỉ đang thực hành trong phòng lab thì phải chứ trong thực tế cấu hình các mạng hầu hết các acl đều là extended.
---------------
interface s0
ip access-group 102 in
access-list 102 permit 192.168.2.0 0.0.0.255 eq 25
interface s0
ip access-group 102 out
------------------------
thứ nhất là sai cú pháp ( thiếu port nguồn )
thứ 2 là sai về cấu hình ( giả sử câu lệnh thứ nhất đúng )
mặc định trong câu lệnh ACL là luôn có câu lệnh deny all ở sau cùng. Nếu không chú ý điều này có thể gây hậu quả rất nghiêm trọng trong cấu hình ACL.
Như theo câu lệnh trên. Bạn chặn hết các data trừ port 25 là SNMP cả trong ra và ngoài vào. Nói chung là chẳng có cái gì là chạy được ở đây cả.

Access list, Cac ban vui long chi giup

Minh co 1 de thi co 2 cau hoi nhu sau, cac ban vui long chi giup cau nao dung va vi sao nhu vay. Cam on

----------------

1) On your newly installed router, you apply the access list illustrated below to interface Ethernet 0 on a Cisco router. The interface í connected to the 192.168.1.8/29 LAN

access-list 123 deny tcp 192.168.166.18 0.0.0.7 eq 20 any
access-list 123 deny tcp 192.168.166.18 0.0.0.7 eq 21 any

How will the above access lists affect traffic ?

a) FTP traffic from 192.168.166.19 to any host will be denied.
b) All FTP traffic to network 192.168.166.18/29 from any host will be denied.
c) FTP traffic from 192.168.166.22 to any host will be denied.
d) All traffic exiting E0 will be denied.
e) FTP traffic will be allowed to exit E0 except FTP traffic.


Cau nay dap an la: d. Nhung minh khong hieu vi sao nhu vay ?
-------------
2/ You are a technician at ABC corp. Your assistant applied an IP access list to router ABC. You want to check the placement and direction of the access control list.
Which command should you use ?

a) Show ip interface
b) Show interface list
c) Show interface
d) Show access-list
e) Show ip access-list