21T42 ACL Wildcard [Konfiguracja]

Maskowanie Listy Dostępu

Link do artykułu.

Transkrypcja:

0:00 Wprowadzenie

0:14 Środowisko

0:50 Konfiguracja Podstawowa

2:14 Sprawdzenie Komunikacji

3:16 Wildcard

4:29 Konfiguracja Akcess Listy

7:13 Przypisanie Akcess Listy do Interface

9:46 Podsumowanie

Transkrypcja

Cześć! Chciałbyś się dowiedzieć, jak można sobie ułatwić życie, używając tzw.
wildcardów w ACL? Jeżeli tak, to dzisiaj pokażę, jak to wykorzystać.

Zacznijmy od środowiska. Mamy tutaj trzy stacje końcowe H1, H2 i H3; z adresacją PC H1, H2 w sieci 192.168.0. Z końcówką 1 dla H1 i 6 dla H2. H3 jest w sieci 192.168.1 z końcówką 1. Mamy po drodze router, który nam te dwie sieci łączy. Okej, czyli na początku konfiguracja podstawowa, czyli zobaczmy konfigurację interfejsów. Najpierw H1, ustawiamy adres hosta, maska 24 bity, gateway standardowo z końcówką 254. H2 z końcówką 6, gateway ten sam. H3 z końcówką 2. Teraz jeszcze konfiguracja czy opis dotyczący routera, czyli końcówka 254 dla poszczególnych sieci. Dla H3 jednak tutaj Mateusz zdecydował: końcówka 1, więc brama będzie 254, host z końcówką 1 i mamy adresację dla hostów wykonaną. Teraz adresacja dla routera. Interfejs 0/0 to jest od strony sieci, w trzecim oktecie 0. Adres IP jak na rysunku, czyli końcówka 254, maska 24 bity. Jeżeli chodzi o drugą sieć: interfejs 0/0/1, końcówka też 254; 24 bity.

Okej, to mamy już adresację nadaną. Teraz przejdźmy do sprawdzenia komunikacji, czyli pingujemy z H3. Odpowiada nam router w sieci od strony interfejsu 0/0/1. Teraz H1 pingujemy router z końcówką 254, również odpowiada; i z końcówką 254, ale w sieci w trzecim oktecie 1-również odpowiada. Czyli wszystkie tutaj trasy na routerze są connected, czyli są podłączone. Router wie, jak przesyłać pakiety, hosty się ze sobą łączą. Okej, możemy jeszcze sprawdzić dla H2. H2 pinguje teraz H3 i to działa. Pinguje router i również mamy komunikację zapewnioną. Końcówki 25 nie ma, więc tutaj zgodnie z oczekiwaniem miało być 254, czyli router po stronie LAN-u
również działa. Wszystko się ze sobą pinguje.

Teraz przejdźmy do wildcarda. Wildcard jest taką koncepcją podobną do maski. Czy jeżeli wpisujesz sieć daną i maskę, to wildcard jest alternatywną koncepcją, tylko odwróconą, czyli jeżeli w masce wpisujesz np. 24 bity, to znaczy, że tam od lewej licząc te 24 bity, że te bity będą brane pod uwagę. Wszystko, co jest po prawej stronie normalnie od maski, nie będzie miało znaczenia, po prostu będzie zerowane. Jeżeli chodzi wildcarda to jest dokładnie odwrotnie, czyli jeżeli wpisujemy wildcarda 7-bitowego, to będzie się liczyć tylko 7 bitów od prawej strony. 1, 3 i tu 4 dodajemy, czyli jeżeli dziesiętnie zapiszemy 7, to tak naprawdę liczą się tylko te 3 bity po prawej stronie. Wszystkie po lewej stronie wartości nie mają znaczenia przy wildcardzie i tutaj będziemy stosować w naszej access liście właśnie wildcard dotyczący 3 bitów po prawej stronie i ta 1, która tu jest na czerwono zaznaczona, ona już nie będzie podlegała tej masce, czyli nie będzie trafiała w dany wpis.

Okej, to przejdźmy dalej do konfiguracji teraz naszej access listy. Access lista 3 i teraz będzie najpierw wpisany host, dla którego ruch zezwalamy, końcówka 0.6, tu na chwilę zwolnię, zauważ, 0.6 to jest host drugi. Tak, host drugi. Czyli teraz mówimy, że access lista to jest basic access lista, czyli mówimy o adresach source. Czy jeżeli pakiet od H2 będzie przechodził przez router i będzie tutaj wpisana reguła permit, to znaczy, że pakiety z H2 będą przekazywane dalej. Okej. Został wpisany też adres hosta z końcówką 7, ale to jest wpis, który tutaj nie ma większego znaczenia, bo nie mamy hosta z końcówką 7.

Idźmy dalej. I teraz wpis deny, czyli koncepcja jest taka, że jeżeli będzie pingował H2 do routera czy do H3, to te pakiety będą przechodzić zgodnie z wpisem powyżej. Tak, z końcówką 0.6. Natomiast jeżeli pakiet będzie szedł od H1-przypominam ma adres 0.1, czyli nie będzie się pakiet z H1 załapywał na żaden ze wpisów powyższych, czyli będzie analizowany we wpisie deny. Host H1 ma końcówkę 1, czyli będzie się łapał na maskę. Przypominam, że dziesiętnie 7 to jest analizowane, czy brane pod uwagę, 3 bity po prawej stronie. Czyli będzie pasował do wpisu deny dla sieci z wildcardem 7. Czyli ruch od H1 będzie blokowany, to jest ważne, bo kolejny wpis, który tutaj będziemy dawać, to będzie wpis dotyczący permit any. Czyli my sprawdzamy funkcjonalność wildcarda, oczekując, że H1 nie będzie mógł zapingować sieci, która jest wychodząca z routera R1.

Okej, czyli mamy konstrukcję naszej access listy już wykonaną, teraz to,
co potrzebujemy zrobić, to przypisać tę access listę do interfejsu na danym kierunku. Tu też trzeba zwrócić uwagę, co to jest za kierunek, czyli mówimy,
że na interfejsie 0/0/1 w kierunku out, czy jeżeli popatrzysz sobie na router R1-0/0/1 w kierunku out. Czyli pakiet, który będzie wychodził z routera na tym
interfejsie będzie podlegał sprawdzeniu w kontekście tej access listy. Access lista jest kierunkowa, nie jest stanowa. W związku z tym każdy pakiet, który wychodzi z R1, będzie sprawdzany w ramach tej access listy. Jeżeli trafi we wpis permit, będzie przepuszczony, jeżeli trafi we wpis deny, będzie blokowany.

Okej, czyli mamy już tutaj naszą access listę stworzoną i przypiętą do interfejsu 0/0/1 w kierunku out. To teraz jest czas na sprawdzenie, jak nam będzie nasza koncepcja działać. Zobaczmy teraz, H2 z końcówką 0.6, przypomnę, że będzie łapał się w access listę host permit, czyli pakiety stąd będą przechodzić. Zobaczymy, czy możemy zapingować. 192.168.1.1. I widać, że pakiety przechodzą. Zgodnie ze wpisem wcześniejszym. Teraz zobaczymy H1. Tutaj oczekiwane zachowanie jest takie, że nie będzie pakiet przechodził, dlatego że nasza access lista z wildcardem będzie kwalifikowała właściwy pakiet pochodzący od adresu w 192.168.0.1. Jak widzimy ping i odpowiedź, zauważ,
że odpowiedź jest też z interfejsu wychodzącego na R1. Czyli my chcemy z H2 pingować H3 w sieci 1.1, a odpowiedź dostajemy z interfejsu 0.254 z R1, że niedostępny jest host. Tutaj rodzaj odpowiedzi, który dostaniemy z routera, może być różny. Typowym sposobem odpowiedzi routera jest po prostu time out, czyli kasowany jest ten pakiet bez żadnej odpowiedzi. W tym przypadku widać, że jest odpowiedź ICMP zwracana przez router, która nam mówi, że Destination host unreachable.

Powtórzmy to. Widać, że test jest taki sam. To jest tyle, jeżeli chodzi o używanie wildcardów. Mam nadzieję, że to było jasne dla Ciebie. Jeżeli nie, to oczywiście pisz w komentarzu, jeżeli masz jakieś wątpliwości, jeżeli coś jest niejasne. Jeżeli byś chciał zobaczyć, jak skonfigurować czy skopiować sobie bezpośrednio te wpisy czy access listę, to zapraszam Cię do bloga. Tam będzie artykuł, który będziesz mógł sprawdzić i skopiować poszczególne polecenia. Jeżeli natomiast jesteś ciekaw szerszej teorii na temat wildcardów, access list, zalet i wad, to zachęcam Cię do posłuchania mojego podcastu, gdzie rozwinę bardziej wątek teoretyczny. Na dzisiaj to tyle, dziękuję Ci za uwagę i do zobaczenia już za tydzień.