Junhwan Heo

AWS Rack Decom Datatech

1 분 소요

1. 서론

    오늘은 ICMP Message를 필터링 하기위해 ACL를 활용하는 방법을 배워보았다.

2. 본론

1. Cisco IOS

1. 문제1

//R2에서도 NAT 돌린다고 설정했을 때, PC2와 Ethernet간 통신하기 위한 설정
//R2
# distribute-list prefix WHATEVER out
# exit
!
# ip prefix-list WHATEVER deny 1.1.30.0/24
//현재 ISP-R2간 RIP를 돌리고 있다. 설정상 ISP와 R2에서 NAT가 돌아간다. 그런데 ISP-R2간은 서로 ISP입장에서 NAT inside므로 통신이 되어야하지만, R2 아래쪽 네트워크는 설정상 ISP에서 알면 안된다. RIP는 Classful한 Routing Protocol인데, R2의 양쪽 네트워크 대역대가 모두 1.x.x.x로 A클래스다. 따라서 RIP에서 분배하는 대역을 수정해야 한다.

//ISP
# ip access-list standard NAT
# permit host 1.1.12.6

//R4
# line vty 0 4
# password CISCO
# login //login local과 login의 차이는 전자는 local에서 생성한 username/password를 모두 물어보고, 후자는 line 아래 설정한 password만 물어본다. 최근 Router들에는 login은 default로 들어가 있다.
# exit
!
# enable password CISCOALL
// enable secret CISCOALL //이 방식으로 Password Encryption 가능
// service password-encryption //이 방식으로 설정한 Password 모두 Encryption 가능

2. Numbered Extended Access List

image

//Smurf Attack(DOS중 하나)를 막기 위해 ICMP 완전 필터링
//R2 (R2가 경계 라우터기 때문에 보통 경계 라우터에서 필터링 해줌)
# conf t
# access-list 100 deny icmp any any echo
# access-list 100 permit ip any any
!
# int s1/0.23
# ip access-group 100 in

//IP
access-list access-list-number
     [dynamic dynamic-name [timeout minutes]]
     {deny|permit} protocol source source-wildcard destination destination-wildcard [precedence precedence]
     [tos tos] [log|log-input] [time-range time-range-name]

//ICMP
access-list access-list-number
     [dynamic dynamic-name [timeout minutes]]
     {deny|permit} icmp source source-wildcard destination destination-wildcard
     [icmp-type [icmp-code] |icmp-message]
     [precedence precedence] [tos tos] [log|log-input]
     [time-range time-range-name]

//TCP
access-list access-list-number
     [dynamic dynamic-name [timeout minutes]]
     {deny|permit} tcp source source-wildcard [operator [port]]
     destination destination-wildcard [operator [port]]
     [established] [precedence precedence] [tos tos]
     [log|log-input] [time-range time-range-name]

//UDP
access-list access-list-number
     [dynamic dynamic-name [timeout minutes]]
     {deny|permit} udp source source-wildcard [operator [port]]
     destination destination-wildcard [operator [port]]
     [precedence precedence] [tos tos] [log|log-input]
     [time-range time-range-name]

3. CAR

ex

ex

//CAR(Commited Access Rate)
//R2
# ip cef //cef(Cisco Express Forwarding)
# access-list 100 permit icmp any any echo
# access-list 100 permit icmp any any echo-reply
!
# int s1/0.23
# rate-limit input access-group 100 8000 1500 2000 conform-action transmit exceed-action drop

2. Linux

image

3. 결론

    Cisco doc을 참고하니 확실히 도움이 된다.

4. 참고자료

1. 자료

Ⅰ. 문웅호, 정보통신망
Ⅱ. 문웅호, QoS

2. Cisco Docs

  1. ARP
  2. CDP
  3. Frame Relay
  4. Static Routing
  5. VLAN
  6. VTP
  7. Routed Port
  8. AD
  9. Route Selection
  10. FHRP
  11. HSRP
  12. DHCP
  13. DNS
  14. STP
  15. NAT
  16. EtherChannel
  17. DTP
  18. RIP
  19. NTP
  20. Offset List
  21. Password Encryption
  22. ACL
  23. CAR Attack
  24. Broadcast
  25. File Types in Linux
클라우드 엔지니어를 꿈꾸며 공부를 시작한 초보 엔지니어입니다. 틀린점 또는 조언해주실 부분이 있으시면 친절하게 댓글 부탁드립니다. 방문해 주셔서 감사합니다 :)

댓글남기기

참고