Mục tiêu


Cấu hình ACL cho phép các kết nối FTP và WWW đến các server cụ thể. Không chặn các traffic cần thiết (routing, v …v).

Mô hình

Hướng dẫn

• Dùng NAT tĩnh để cấu hình. Server được đề cập ở trên có IP 150.1.4.4.
• Cho phép các kết nối TCP đến các port của FTP và WWW service. Cả Active và Passive FTP đều hoạt động.
• Cho phép OSPF, Ping, và Traceroutes traffic trên cả hai hướng inbound và outbound.
• Ping sử dụng các thông điệp ICMP ‘echo’ và ‘echo-reply’.
• Traceroutes mặc định sử dụng dãy UDP port 33434 – 33464 để thăm dò mạng, và chờ các thông điệp ICMP ‘Time-Exceeded’ hoặc ‘Port-Unreachable’.
• Active FTP sử dụng TCP port 21 cho kết nối inbound và port 20 cho kết nối outbound (server to client).
• Passive FTP: client mở kết nối data đến các port trong dãy 1023 – 65535 (client to server).
• Tạo extended access-list FROM_OUTSIDE trên R4 cho phép tất cả các kết nối đề cập ở trên.
• Add ‘deny ip any any log’ ở cuối ACL để ghi lại các packet bị dừ chối.
• Apply ACL lên các interface outside của R4.

Cấu hình tham khảo


Bước 1: Cấu hình cơ bản: địa chỉ IP, định tuyến OSPF, NAT tĩnh



Router R4



interface Loopback0

ip address 150.1.4.4 255.255.255.0

ip ospf network point-to-point

!

interface FastEthernet0/0

ip address 155.1.45.4 255.255.255.0

ip nat outside

ip virtual-reassembly

duplex auto

speed auto

!

interface FastEthernet0/1

ip address 10.0.0.4 255.255.255.0

ip nat inside

ip virtual-reassembly

duplex auto

speed auto

!

router ospf 1

log-adjacency-changes

network 150.1.4.0 0.0.0.255 area 0

network 155.1.45.0 0.0.0.255 area 0

!

ip nat inside source static 10.0.0.1 150.1.4.4



Router R5



interface Loopback0

ip address 150.1.5.5 255.255.255.0

!

interface FastEthernet0/0

ip address 155.1.45.5 255.255.255.0

duplex auto

speed auto

!

interface FastEthernet0/1

no ip address

shutdown

duplex auto

speed auto

!

router ospf 1

log-adjacency-changes

network 150.1.5.0 0.0.0.255 area 0

network 155.1.45.0 0.0.0.255 area 0



Router R1



interface FastEthernet0/0

ip address 10.0.0.1 255.255.255.0

duplex auto

speed auto

!

ip classless

ip route 0.0.0.0 0.0.0.0 10.0.0.4



Bước 2: Cấu hình extended access-list FROM_OUTSIDE trên R4



ip access-list extended FROM_OUTSIDE

permit icmp any any echo

permit icmp any any echo-reply

permit udp any any range 33434 33464

permit icmp any any time-exceeded

permit icmp any any port-unreachable

permit ospf any any

permit tcp any host 150.1.4.4 range ftp-data ftp

permit tcp any host 150.1.4.4 range 1023 65535

permit tcp any host 150.1.4.4 eq www

deny ip any any log



Apply ACL lên các interface outside của R4



interface FastEthernet0/0

ip access-group FROM_OUTSIDE in



Bước 3: Cấu hình R1 thành FTP server và HTTP server



R1(config)#ip http server

R1(config)#ftp-server enable

R1(config)#ftp-server topdir flash:



Tạo file test.txt trên R1 để kiểm tra FTP



R1#copy running-config flash:test.txt

Destination filename [test.txt]?

Erase flash: before copying? [confirm]n

Verifying checksum... OK (0xC5CD)

910 bytes copied in 6.647 secs (137 bytes/sec)



Bước 4: Kiểm tra



R5#conf t

Enter configuration commands, one per line. End with CNTL/Z.

R5(config)#no ip ftp passive

R5#copy ftp://150.1.4.1/test.txt null:

Accessing ftp://150.1.4.1/test.txt...

Loading test.txt !

[OK - 910/4096 bytes]



910 bytes copied in 2.560 secs (355 bytes/sec)



R5#conf t

Enter configuration commands, one per line. End with CNTL/Z.

R5(config)#ip ftp passive

R5(config)#do copy ftp://150.1.4.1/test.txt null:

Accessing ftp://150.1.4.1/test.txt...

Loading test.txt !

[OK - 910/4096 bytes]



910 bytes copied in 2.584 secs (352 bytes/sec)

R5(config)#



R5#telnet 150.1.4.1 80

Trying 150.1.4.1, 80 ... Open



R5#disc 1

Closing connection to 150.1.4.1 [confirm]



R5#telnet 150.1.4.1

Trying 150.1.4.1 ...

% Destination unreachable; gateway or host down

------------------------------------
​