extended access-list 를 사용하며 established를 적용하여 내부의
기업네트워크에서 외부로는 모든 인터넷 사용이 자유롭게 하고 인터넷에서는
내부로 접근하는 것에 제한을 걸어보자
RouterA#
RouterA#
RouterA#conf t
RouterA(config)#
RouterA(config)#access-list 100 permit tcp any 202.30.68.0 0.0.0.255 established
---> 이 설정에 의해 내부의 기업네트워크에서 외부로는 모든 인터넷 사용이
자유롭게 되고 인터넷에서는 내부로 접근이 되지 않는다.
RouterA(config)#
RouterA(config)#int s0
RouterA(config-if)#
RouterA(config-if)#ip access-group 100 in
RouterA(config-if)#^Z
RouterA# wr m
Building configuration...
[OK]
RouterA#
RouterA#
RouterA#
RouterA#
RouterA#conf t
RouterA(config)#
RouterA(config)#access-list 100 permit tcp 210.109.214.1 0.0.0.0
202.30.68.241 0.0.0.0 eq www
: 이 설정에 의해 외부 인터넷에 있는 이용자 중 210.109.214.1을 가진 이용자만
내부의 웹서버인 202.30.68.241 로 접근이 가능하게 된다.
RouterA(config)#^Z
RouterA# wr m
Building configuration...
[OK]
RouterA#
RouterA#clear ip route *
RouterA#
RouterA#sh ip route
[ access-list 100 permit tcp 210.109.214.1 0.0.0.0 202.30.68.241
0.0.0.0 eq www ]의 설정은 동시에 [ access-list 100 deny ip any any ]를
설정케하는 요소이기도 하다.
: 즉 라우팅 정보 업데이트에 udp 512등을 사용하는 RIP등의 라우팅 프로토콜까지
부정하는 요소가 되어 대상으로의 Route를 잃어버리게 하는 원인이 된다.
다시 말해 벼룩 잡으려고 초가삼간을 다 태우는 경우에 해당된다.
RouterA#
RouterA#conf t
Enter configuration commands, one per line. End with CNTL/Z.PuSan(config)#
RouterA(config)#no access-list 100
RouterA(config)#
RouterA(config)#access-list 100 permit udp any any eq rip
: 이 설정에 의해서 라우팅 정보 업데이트에 udp 512등을 사용하는 RIP등의
라우팅 프로토콜이 enable되어 대상으로의 Route를 회복하게 된다.
RouterA(config)#access-list 100 permit tcp any 202.30.68.0 0.0.0.255 established
RouterA(config)#access-list 100 permit tcp 210.109.214.1 0.0.0.0
202.30.68.241 0.0.0.0 eq www
RouterA(config)#access-list 100 deny ip any any
PuSan(config)#^Z
RouterA# wr m
Building configuration...
RouterA#
RouterA#
RouterA#clear ip route *
RouterA#
RouterA#sh ip route
:210.109.214.0/24네트워크가 다시 보이고 있다.
:이로써 애초에 의도하고자 하였던 내부의 기업네트워크에서 외부로는 모든 인터넷
사용이 자유롭게 되고 인터넷에서는 내부로 접근이 되지 않는다.
하지만 외부 인터넷에 있는 이용자 중 210.109.214.1을 가진 이용자만 내부의 웹 서버인
202.30.68.241 로 접근이 가능하게 된다.
RouterA#
RouterA#sh conf
최종 환경설정은 다음과 같다.
Using 793 out of 129016 bytes
!
version 11.1
service udp-small-servers
service tcp-small-servers
!
hostname PuSan
!
enable secret 5 $1$WVzn$zIPrZIYh/z3CThfZpUY5i/
enable password router
!
!
interface Ethernet0
ip address 202.30.68.254 255.255.255.0
media-type 10BaseT
!
interface Serial0
ip address 198.20.19.2 255.255.255.0
ip access-group 100 in
no fair-queue
!
interface Serial1
no ip address
shutdown
router rip
network 202.30.68.0
network 198.20.19.0
!
no ip classless
logging buffered
access-list 100 permit udp any any eq rip
access-list 100 permit tcp any 202.30.68.0 0.0.0.255 established
access-list 100 permit tcp host 210.109.214.1 host 202.30.68.241 eq www
access-list 100 deny ip any any
!
line con 0
line aux 0
line vty 0 4
password router
login
!
end
RouterA#
