Router(config)# access-list 10 deny any 也可以用下面的 Router(config)# access-list 10 deny 不过也有另一个方法来指定一个主机,你可以使用通配符,去指定一个网络或者一个子网,你没有选择但可以使用通配符在Access Lists
Wildcards 它是Access Lists指定使用一个主机,网络,或者一部分网络,你需要了解block sizes。block sizes是使用来指定一个地址范围,下面显示某些不同的block sizes可供使用。 64 32 16 8 4
当你需要指定一个地址范围时,你选择最接近最大的的block size,如果你需要指定34 networks. 你需要64,如果你要指定18 主机,你需要32, 到 15-8=7 7最接近8 所以是
所以是0.0.7.255 从0-7就是8的原因 standard IP Access List example router(config)#access-list 10 deny router(config)#access-list 10 permit any= 访问列表设完,下面是应用到接口 router(config)#int e0 router(config-if)# ip access-group 10 out 以上结果是所有从ethernet 0的接,来自的数据将被停止 extended ip Access List
在标准IP访问列表里,注意到你该如果阻止全部来自某处的子网, 如果你想他们只能获得访问几个服务器该如何做呢?在标准的访问列表里,你不能允许用户只用网络的一部份,不过扩展IP访问列表可能解决这个问题,它允许你选择你的IP来源和目标地址,还有可以选择端口号码。
router(config)#access-list 110 deny ? tcp ........... ip .................. 在这里你要选择访问列表类型,这是非常重要的,你一定要明白如果你想使用应用程序过滤,你必须选择一个允许你通IOS模式的网络协议项目,实例1,如果你要过滤telnet或者ftp,你必须选择TCP,如果你选择IP,你将不能离开网络层,这样你就不能允许任何更高层的过滤。 router(config)#access-list 110 deny tcp any host eq 23 ftp
这样你就防止所有的数据包通过FTP经过23端口到
但这样其实你会拒绝所有的通信,因为访问列表里找不到的将全部被拒绝,所以你要
router(config)#access-list 110 permit ip any any router(config-if)# ip access-group 110 in monitoring ip access lists show access-list : 显示所有,但看不到访问列表接到哪一种接口 show access-list 110: 显示110的所有,但看不到访问列表接到哪一种接口 show ip access-list: 只显示路由器的IP访问列表 show ip interface: 显示哪一个接口设置哪一种访问列表 show run: 显示所有访问列表和接口 IPX access lists IPX standard: 过滤来源,目标,主机,网络号码(800-899) ipx extended: 过滤来源,目标,主机,网络号码, socket number(900-999) ipx sap filter:控制SAP交通(100-1099) IPX standard: router(config)#access-list 810 permit 20 40 router(config)#int e0 router(config-if)#ipx access-group 810 out ipx extended access-list number permit /deny protocol source socket destination socket ipx SAP: access-list number permit/deny source service type access-list 1010 permit -1(=any) 4 sales(=sap server name) router(config-if)#ipx input-sap-filter(从项目中停止所有的 SAP更新) router(config-if)#ipx output-sap-filter (停止某些SAP传出定期的60秒SAP更新) verity ipx access list router#sh ipx int router#sh ipx access 传统的Linux文件系统的权限控制是通过user、group、other与r(读)、w(写)、x(执行)的不同组合来实现的。随着应用的发展,这些权限组合已不能适应现时复杂的文件系统权限控制要求。例如,我们可能需把一个文件的读权限和写权限分别赋予两个不同的用户或一个用户和一个组这样的组合。传统的权限管理设置起来就力不从心了。为了解决这些问题,Linux开发出了一套新的文件系统权限管理方法,叫文件访问控制列表(Access Control Lists,ACL)。 要启用ACL,需内核提供ACL支持和安装ACL管理工具。现在的内核都提供ACL支持,在编译内核时只要在file systems分支下,把Ext2 POSIX Access Control Lists或Ext3 POSIX Access Control Lists选中就可以了。用以下命令挂接硬盘启用文件系统ACL。
debian:~# mount -t ext2 -o acl /dev/hda1 /mnt/hda1
我们也可把选项写到/etc/fstab文件中,在需启用acl的分区选项包含acl参数。
ACL有两种,一种是存取ACL(access ACLs),针对文件和目录设置访问控制列表。一种是默认ACL(default ACLs),只能针对目录设置。如果目录中的文件没有设置ACL,它就会使用该目录的默认ACL。要设置ACL,首先要安装管理工具,它们分别是getfacl和setfacl,在debian中只要安装acl软件包即可。
debian:~# apt-get install acl
setfacl工具可为文件和目录ACL,命令格式如下: setfacl -m
rules的格式如下,多条规则间可用逗号分隔。
u:uid:perms?? #为用户设置ACL,perms为r、w、x的组合 g:gid:perms?? #为组设置ACL o:perms????? #为其它组设置ACL m:perms????? #设置有效权限屏蔽 下面是setfacl的实例:
debian:~# setfacl -m u:jims:rw ??
#-m选项表示添加或修改文件或目录的权限访问列表 debian:~# setfacl -x u:jims:rw #-x选项表示删除文件或目录的访问列表
要设置默认的ACL,只在rules前加一个d:,以表示指定一个目录,如:
debian:getfacl # file: # owner: jims # group: jims user::rwx group::r-- other::r-- 1、什么是访问控制列表?
访问控制列表在Cisco IOS软件中是一个可选机制,可以配置成过滤器来控制数据包,以决定该数据包是继续向前传递到它的目的地还是丢弃。
2、为什么要使用访问控制列表?
最初的网络只是连接有限的LAN和主机,随着路由器连接内部和外部的网络,加上互联网的普及,控制访问成为新的挑战,网络管理员面临两难的局面:如何拒绝不期望的访问而允许需要的访问?访问控制列表增加了在路由器接口上过滤数据包出入的灵活性,可以帮助管理员限制网络流量,也可以控制用户和设备对网络的使用,它根据网络中每个数据包所包含的信息内容决定是否允许该信息包通过接口。
3、访问控制列表有哪些类型? 访问控制列表主要可以分为以下两种:
A、标准访问控制列表:标准访问控制列表只能够检查可被路由的数据包的源地址,根据源网络、子网、主机IP地址来决定对数据包的拒绝或允许,使用的局限性大,其序列号范围是1-99。
B、扩展访问控制列表:扩展访问控制列表能够检查可被路由的数据包的源地址和目的地址,同时还可以检查指定的协议、端口号和其他参数,具有配置灵活、精确控制的特点,其序列号的范围是100-199。
以上两种类型都可以基于序列号和命名来配置,我们建议使用命名来配置访问控制列表,这样在以后的修改中也是很方便的。
4、访问控制列表具有什么样的特点?
A、它是判断语句,只有两种结果,要么是拒绝(deny),要么是允许(permit); B、它按照由上而下的顺序处理列表中的语句;
C、处理时,不匹配规则就一直向下查找,一旦找到匹配的语句就不再继续向下执行;
D、在思科中默认隐藏有一条拒绝所有的语句,也就默认拒绝所有(any);
ACL访问控制列表
