View Full Version : Nhờ giúp đỡ về access list
tuaninbox
07-11-2003, 09:52 PM
Các anh cho em hỏi access list sau dùng để làm gì vậy?
access-list 1 permit host 192.168.0.102
access-list 1 permit host 192.168.0.104
access-list 1 permit host 192.168.0.108
access-list 1 permit host 192.168.0.110
access-list 1 deny 192.168.0.10 0.0.0.100 log
access-list 1 permit any
thanks
cis_hat
08-11-2003, 12:04 AM
Khi apply ACL lên interface (tuỳ thuộc vào apply vào hay ra ) thi` 4 hàng đầu tiên là cho phép những host có địa chỉ 192.168.0.102 , 104 , 108 , 110 vào hoặc ra
hàng thứ 5 thì hình như bạn gõ nhầm thì phải vì không có wildcard mask nào như thế cả nên không thể giải thích được
hàng thứ 6 là cho phép tất cả các địa chỉ
phieudu
08-11-2003, 12:32 AM
em nghĩ anh cis_hat trả lời như thế thì quá đơn giản, câu trả lời chắc phải khác.Tuanninbox là mod thì chắc phải biết tất cả những cái mà anh cis_hat nói chứ.Hì ,em nói đúng ko nhể.
Vuongxibul
08-11-2003, 07:53 AM
Hi tuaninbox,
Bạn tìm đâu ra cái bộ access-list này vậy? hơi lạ đó?
:roll:
bestirboy
08-11-2003, 09:02 AM
Theo mình thì, cái ACL trên chỉ bị ảnh hưởng bởi dòng thứ 2 và 2 dòng lệnh sau cùng thôi.
Cụ thể là deny những IP 192.168.0.x11xx1xx và permit những IP còn lại trong đó có 191.168.0.104
Tuaninbox đưa đáp án cho mọi người xem được chưa?
(chắc là sai tè le wá)
:wink:
diendan
08-11-2003, 03:02 PM
Đúng vậy Anh Tuấn có thể giải thích cho anh em sớm được không làm sao có Inverse Mask 0.0.0.100 hay Normal Mask là 255.255.255.155 được.
Và nếu như vậy thì ưu tiên TOP-DOWN thì câu lệnh thứ 6 là Bound tất cả rồi. Lạ Quá!
sinhvienngheo
09-11-2003, 01:56 AM
Các anh cho em hỏi access list sau dùng để làm gì vậy?
access-list 1 permit host 192.168.0.102
access-list 1 permit host 192.168.0.104
access-list 1 permit host 192.168.0.108
access-list 1 permit host 192.168.0.110
access-list 1 deny 192.168.0.10 0.0.0.100 log
access-list 1 permit any
thanks
Các bạn vnpro thân mến,
Một trong những nguyên tắc của access-list là "đi từ more specific trước, đến more general sau". Ta sẽ áp dụng nguyên lý đó vào đây.
Trong access-list của anh Tuấninbox, ta có thể hiểu công dụng của access-list này như sau:
Cho phép host 192.168.0.102
Cho phép host 192.168.0.104
Cho phép host 192.168.0.108
Cho phép host 192.168.0.110
Đây là các rule đầu tiên, để cho phép các host cụ thể. Sau đó, tiếp tục đến một rule mang nhiều tính chất tổng quát hơn:
# access-list 1 deny 192.168.0.10 0.0.0.100 log
Ta đi vào phân tích rule này:
Wild-card 0.0.0.100 có thể được viết ở dạng nhị phân:0110 0100
Điều này có nghĩa là octet cuối cùng sẽ bị ' dont care' ở những bit thứ 2,3 và 6.
0 0 0 0 0 0 0 0 <-octet cuối
0 1 1 0 0 1 0 0 <- wild card
Điều này có nghĩa là các subnet có octet cuối cùng có dạng sau đây sẽ bị deny
0 0 0 0 0 0 0 0
0 0 0 0 0 1 0 0
0 0 1 0 0 0 0 0
0 0 1 0 0 1 0 0
0 1 0 0 0 0 0 0
0 1 1 0 0 0 0 0
0 1 1 0 0 1 0 0
Hay các giá trị thập phân cho các octet trên là:
0, 4,32,36,64,96,100
Có nghĩa là các subnet work sau đây sẽ bị deny
192.168.0.0
192.168.0.4
192.168.0.32
192.168.0.36
192.168.0.64
192.168.0.96
192.168.0.100
Tiếp theo đó, ta có một rule tổng quát nhất
access-list 1 permit any
Rule này sẽ cho phép tất cả các traffic còn lai.
Chúc các anh chị thành công,
Do you vnpro?
sinh viên nghèo trả lời rất rõ ràng, có lý. Thanks
nguyenvuankhuong
11-11-2003, 01:54 PM
Rất chính xác,nhưng hình như bị thiếu mất một octec giá trị là 0 1 0 0 0 1 0 0 mang giá trị là:68
tức là-> 192.168.0.68 rồi đó !
Powered by vBulletin® Version 4.1.9 Copyright © 2012 vBulletin Solutions, Inc. All rights reserved.