Tachylite

ACL

Access Control Lists: Filterlisten für Netzwerkverkehr, Auf Layer 3 und 4 (IP, Port, Protokoll)
3P-Regel:

  • per protocol
  • per direction
  • per interface z.B. auf einem Interface eingehend oder ausgehend und IPv4 / IPv6, d.h. 4 ACLs pro Interface

Mit OSPF

Unterscheidung zwischen Standard und Extended ACLs:

Standard: Filterung nur nach Source-Adresse
Aufbau: access-list <list-nummer> [ permit | deny ] <source-netz> <wildcard-mask>
Nummer: 1-99

Extended: Filter nach Source und Dest IP und Port, und Protocol
Aufbau:

<protocol> = tcp | udp | ip | ...  <adresse> = [ <ip> <wildcard-mask> | host <ip> | any ] [[ eq | ne | lt | gt ] <port> ]?  <declaration> = [ permit | deny ] <protocol> <addresse(source)> <adresse(destination)> established?

Nummer: 100-199

Bei IPv6 gibt es keine Nummern mehr, sondern nur Name, bei IPv4 auch Name möglich

Platzierung

Faustregel: so früh wie möglich Traffic aufhalten, d.h. Extended ACLs so weit wie möglich zur Quelle, bei Standard ACLs nicht möglich weil nur nach Source gefiltert wird

Zuweisung

(config)# access-list 1 permit 192.168.10.0 0.0.0.255
(config)# int s0/0/0
(config-if)# ip access-group 1 out

Wenn s0/0/0 das Internet ist, heißt das dass Geräte aus 192.168.10.0/24 Pakete ins Internet senden dürfen.

Wenn ein Paket kommt, wird die Liste abgearbeitet, der erste Eintrag der matcht gilt. Wenn keine matcht wird das Paket abgelehnt.
test für nextcloud