访问控制列表

实验3：访问控制列表实验 目录 1 实验拓扑... 2 2 实验准备... 2 3 检测网络连通性... 3 4 基本访问控制列表实验... 4 4.1 实验一:AR28-11路由器的访问控制列表或者说防火墙的缺省过滤方式是允许通过还是禁止通过？... 4 4.2 实验二：禁止特定主机PC3访问PC5所在网络内的主机。... 5 4.2.1 实验步骤... 5 4.2.2 实验分析... 10 4.3 实验三：禁止PC3所在的网络内的主机访问PC5所在网络内的主机。... 11 5 高级访问控制列表实验... 13 5.1 实验拓扑... 13 5.2 实验一：FTP访问控制实验... 13 5.2.1 在PC5上搭建FTP server 13 5.2.2 测试各个主机是否能打开ftp. 15 5.2.3 禁止特定主机PC3访问FTP. 16 5.2.4 禁止特定网络201.1.1.0/192的所有主机访问FTP. 17 5.2.5 改变FTP的端口为2121后，禁止特定网络201.1.1.0/192的所有主机访问FTP 18 5.3 实验二：禁止使用QQ实验(假设PC5为QQ服务器，禁止网络上的主机访问QQ，即访问到特定主机PC5)。... 20 5.3.1 禁止特定主机PC3访问PC5. 21 5.3.2 禁止特定网络201.1.1.0/192中的主机访问PC5. 23 6

1.问控制列表（ACL）：应用于路由器接口的指令列表，用于指定哪些数据包可以接收转发，哪些数据包需要拒绝。 2.ACL的工作原理：读取第三层及第四层包头中的信息；根据预先定义好的规则对包进行过滤。 3.访问控制列表的作用：提供网络访问的基本安全手段；可用于QoS，控制数据流量；控制通信量 4.访问控制列表工作原理：实现访问控制列表的核心技术是包过滤 5.通过分析IP数据包包头信息，进行判断；利用4个元素定义规则：源地址；目的地址；源端口；目的端口；访问控制留别入与出： 6.使用命令ip access-group将ACL应用到某一个接口上： Router(config-if)#ip access-group access-list-number {in| out} 7.在接口的一个方向上，只能应用一个access-list 8.Deny和Permit命令： Router(config)#access-list access-list-number {permit |deny} {test conditions} permit：允许数据报通过应用了访问控制列表的接口；deny：拒绝数据包通过 使用通配符any和host通配符any可代替0.0.0.0 255.255.255.255 9.Host表示检查IP地址的所有位-访问控制列表的种类： 10.基本类型的访问控制列表

一、setfacl命令setfacl用来细分linux下的文件权限。 chmod命令可以把文件权限分为u,g,o三个组，而setfacl可以对每一个文件或目录设置更精确的文件权限。 换句话说，setfacl可以更精确的控制权限的分配。 比如：让某一个用户对某一个文件具有某种权限。 这种独立于传统的u,g,o的rwx权限之外的具体权限设置叫ACL（Access Control List） ACL可以针对单一用户、单一文件或目录来进行r,w,x的权限控制，对于需要特殊权限的使用状况有一定帮助。 如，某一个文件，不让单一的某个用户访问。用法： 用法: setfacl [-bkndRLP] { -m|-M|-x|-X ... } file ... -m, --modify-acl 更改文件的访问控制列表 -M, --modify-file=file 从文件读取访问控制列表条目更改 -x, --remove=acl 根据文件中访问控制列表移除条目 -X, --remove-file=file 从文件读取访问控制列表条目并删除 -b, --remove-all 删除所有扩展访问控制列表条目 -k, --remove-default 移除默认访问控制列表 --set=acl 设定替换当前的文件访问控制列表 --set-file=file 从文件中读取访问控制列表条目设定 --mask

访问控制列表：acl ??acl在centos7xfs文件系统中是默认开启的；在centos6，以及6之前的版本，在安装操作系统之前创建的文件系统也是默认开启acl的，在安装操作系统之后创建的文件系统是默认不开启的，可以通过下面的命令，这两种方法都可以开启acl： 或者 我们也可以通过下面的命令查看有没有开启acl： 如果需要关闭当前文件系统的acl，可以使用下面的命令： 如果不知道当前目录的文件系统，运行下面的命令可以查看当前的文件系统： 设置acl的命令如下： 查看acl的命令如下： 使用文件设置acl： 设置当前目录及其子文件，子目录的acl： 设置未来创建的目录及其子目录的acl 清空所有acl： 批量删除acl，格式保存在acl.txt： 删除默认acl： 设置mask 权限的阀值 即权限上限： 或 原文：http://blog.51cto.com/13412442/2148120

配置路由器 全网互通后 ，更高级一点希望网络中的资源 不被非法使用和访问 。 出现了 访问控制 ，访问控制是网络安全防范和保护的主要策略， 主要任务 是保证网络资源不被非法使用和访问 它是保证网络安全最重要的核心策略之一 访问控制涉及的技术：包括 入网访问控制 、 网络权限控制 、 目录级控制 以及 属性控制 等多种手段。 访问控制列表是其中重要的内容！根据列表来告诉路由器哪些数据包可以收、哪些数据包需要拒绝。 访问控制列表（Access Control Lists,ACL）是应用在路由器接口的指令列表。 访问控制列表好处： 控制网络流量、流向的作用 很大程度上起到保护网络设备、服务器的关键作用。 作为外网进入企业内网的第一道关卡，路由器上的访问控制列表成为保护内网安全的有效手段。 进入到R2 R2#(config) access-list <1~99>访问列表名字（标准） <100~199>extended(扩展的，防止不够用） R2#(config) access-list 10 ：现在有一个访问控制列表10　　控制列表中有3类信息（deny 拒绝 permit允许 remark注释） 在每一个控制列表下，通过这3类控制信息来决定列表内容的作用 举例――remark R2#(config) access-list 10 　 remark deny to 4.4.4.4

思科：默认deny所有 标准acl，只能检查流量的源IP地址，1-99， 扩展acl，同时检查流量的：源IP，目的IP，源port，目的port，protocol，100-199 华为：默认permit所有 基本adl，只能检查流量的源IP地址，2000-2999 高级acl，同时检查流量的：源IP，目的IP，源port，目的port，protocol，3000-3999 二层acl，检查流量的源/目的MAC地址以及二层协议类型等，4000-4999 通配符掩码： 32bit的数字，使用“0”匹配，“1”忽略，指定与“IP网络前缀”的匹配方式 例如：192.168.1.0 0.0.0.255 思科ACL配置命令： （编号式）标准acl配置： access-list 1 permit 172.16.0.0 0.0.255.255 interface ethernet 0 ip access-group 1 out （编号式）扩展acl配置： access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 21 access-list 101 permit any any interface ethernet 0 ip access-group 101 out （命名式）标准acl配置： ip access

1、ACL 　　Access list ，访问控制列表。 2、作用 　　限制网络中的地址访问。 3、主要内容 Eg： Router(config)#access-list ? 　<一>、 　　<1-99> IP standard access list 　　#标准访问控制列表，只能限制来源地址。 　　<100-199> IP extended access list 　　#扩展型访问控制列表，可限制来源地址、目标地址、来源端口、目标端口。 　<二>、 　　Router(config)#access-list 1 ? 　　deny 禁止 　　permit 允许 　　remark 标记（没有作用） 　<三>、 　　Router(config)#access-list 1 deny ? 　　A.B.C.D（网段）； 　　any （所有）； 　　host（一台主机） 　<四>、 　　Router(config)#access-list 1 deny 192.168.1.2 　<五>、调用 　　Router(config)#interface fastEthernet 0/0 　　Router(config-if)#ip access-group 1 in 　　# 说明： 　　In ---限制进来 　　out---限制出去 　<六>、注意 　　在思科软件中，一般的在access-list 1

访问控制列表(ACL)是应用在路由器接口的指令列表(即规则)。这些指令列表用来告诉路由器，那些数据包可以接受，那些数据包需要拒绝。 访问控制列表(ACL)的工作原理 ACL使用包过滤技术，在路由器上读取OSI七层模型的第3层和第4层包头中的信息。如源地址，目标地址，源端口，目标端口等，根据预先定义好的规则，对包进行过滤，从而达到访问控制的目的。 ACl是一组规则的集合，它应用在路由器的某个接口上。对路由器接口而言，访问控制列表有两个方向。 出：已经过路由器的处理，正离开路由器的数据包。 入：已到达路由器接口的数据包。将被路由器处理。 如果对路由器的某接口应用了ACL，那么路由器对数据包应用该组规则进行顺序匹配，使用匹配即停止的，不匹配则使用默认规则的方式来过滤数据包。如下图： 访问控制列表的类型 标准访问控制列表：根据数据包的源IP地址来允许或拒绝数据包，标准访问控制列表的访问控制列表号是1-99。 扩展访问控制列表：根据数据包的源IP地址，目的IP地址，指定协议，端口和标志，来允许或拒绝数据包。扩展访问控制列表的访问控制列表号是100-199 配置标准控制列表 创建标准ACL的语法如下： Router(config)#access-list access-list-number {permit|deny} source [souce-wildcard] 下面是命令参数的详细说明

五、访问控制列表 <2000-2999>标准访问控制列表 <3000-3999>扩展访问控制列表 <4000-4999>指定一个L2的acl群组 <5000-5999>用户自定义访问控制列表 ACL的五大要素：源地址、源端口、目标地址、目标端口、协议 如果简单说来就是：源地址访问目的地址的什么协议的什么端口 思路：应用需要用什么协议，需要用什么端口--------确定IP地址 1.标准访问控制列表 Forexample1： rule 0 deny source 192.168.16.2 0 #这条的意思是：访问规则0，拒绝源网段192.168.16.0的访问， 而子网掩码为 0 就相当于 255.255.255.255 也就是 32 ，为完全匹配的意思，就是说单单只拒绝这个一 IP 地址的访问 。 先搭建一个前期的可访问的路由的环境： R1: [router]interface GigabitEthernet 0/0/0 [router-GigabitEthernet0/0/0]ip address192.168.10.2 255.255.255.0 [router]ip route-static 192.168.1.0255.255.255.0 192.168.10.1 [router]ip route-static192.168.2.0 255.255.255.0 192

acl控制列表作用： ——–举例：类似ftp例子，老师（teacher）创建了个目录ftp用于学生上交作业，老师可以有增、删、改、查权限，班级里的学生为（class1）组成员，学生只能有上传文件，不能修改和删除和查看，这个普通 u g o 权限就能办到，但是老师想找班长（banzhang）帮他改作业（增、删、改、查），且只能用班长自己的身份去操作里面的文件，肯定有人会说改掉这个目录所有者为banzhang就可以了，下次老师要自己看作业又得改回来所有者为teacher，这样就很麻烦，有没有什么办法可以让文件所有者同时有多个呢？可以，acl控制列表可以帮你，上面就是acl的作用，当然还可以设置所属组同时有多个。 用户相关目录和文件 #如果要彻底删除用户必须对这些文件和目录修改 /etc/passwd /etc/shadow /home/zhang3 / var /spool/mail groupadd teachers #创建teachers组 groupadd class1 #创建class1组 useradd -g teachers teacher1 #将用户teacher1加入teachers组 useradd -g class1 u1 #将用户u1加入class1组 useradd -g class1 u2 #同上 useradd -g class1 u3 useradd -g