Aylık arşivler: Kasım 2023

Cisco Extended ACL (Access List) Yapılandırma

Bir Cevap Yazın

Bir önceki yazıda Cisco router ve L3 switchlerde standart access list’lerin nasıl yazılacağını anlatmıştık. Bu yazıda extended acl’lerin nasıl yazılacağını anlatacağız. Extended access list’leri yazarken belirli kurallar vardır. Bu kurallar şu şekildedir;

  • Extended access list’ler sadece 100-199 arasında bir değer alabilir.
  • Extended access list’ler kaynağa yakın cihazda yazılmalıdır.
  • Extended access list’ler ile port bazlı detaylı kurallar yazmamız mümkündür.

1-) Bu yazıda extended access list ile ilgili bir örnek uygulama yapacağız. Örnek yapımız aşağıdaki görselde gözükmektedir. Aşağıdaki görseldeki gibi tüm cihazların ip tanımları yapılmıştır ve iki network birbirleriyle sorunsuz haberleşebilmektedir (route tanımlamaları yapılmıştır). 192.168.1.11 ip adresli sunucuda web, dns server servisleri aktiftir ve bu sunucu üzerinde bilgialnet.com web sitesi yayınlanmaktadır. Tüm bilgisayarlar bu web sitesine erişebilmektedir.

2-) Bu örnekte 10.0.0.10 ip adresli bilgisayarın 192.168.1.11 sunucunun web server servisine (80 numaralı porta) erişimini engelleyeceğiz. Yani bilgialnet.com adresine erişemeyecek. Sunucudaki diğer servislere erişebilecek.

Not: Burada bilgisayarların ip adresi ayarlarında dns adresini 192.168.1.11 yapmamız gerekmektedir. İsim çözümleme işlemini de bu sunucu yaptığı için bu işlemi yapmamız gerekmektedir.

3-) 10.0.0.10 ip adresli bilgisayardan bilgialnet.com adresine giriş yapmayı deneyelim. Evet görselde de gözüktüğü gibi erişim sorunsuz olarak gerçekleşmektedir.

4-) Şimdi Router1 üzerinden aşağıdaki komutları yazalım;

enable
conf term
access-list 101 deny tcp host 10.0.0.10 host 192.168.1.11 eq 80
access-list 101 permit ip any any
int gig0/0/0
ip access-group 101 out

5-) Yukarıdaki komutları uyguladıktan sonra ile olarak 10.0.0.11 ip adresli cihazdan web siteye erişmeyi deneyelim.

Erişim sorunsuz olarak gerçekleşti. Çünkü bu cihaz için bir engelleme yapmadık.

6-) Şimdi 10.0.0.10 ip adresli bilgisayardan web sitesini açmaya çalışalım.

Evet görselde de gözüktüğü gibi web site açılmadı. Kuralımız doğru olarak çalışıyor. Bilgisayarımızdan web sunucusuna ping atmayı denersek iletişim sorunsuz olarak gerçekleşecektir. Çünkü sadece 80 numaralı portu engelledik. Cisco ile ilgili konularımıza devam edeceğiz.

Cisco Standart ACL (Access List) Yapılandırma

1 Yanıt

Cisco router ve L3 switchlerde access listler ile network kuralları oluşturabilmemiz mümkündür. Cisco cihazlarda iki çeşit access list bulunmaktadır. Bunlar standart ve extended’dir. Standart access listler basit kurallar oluşturmamıza olanak tanımaktadır. Extended access listler ise gelişmiş network kuralları oluşturmamızı sağlar. Bu yazıda standart access listler ile ilgili örnekler yapacağız.

Konumuza başlamadan önce standart access listler ile ilgili aşağıdaki iki kurala dikkat etmemiz gerektiğini hatırlatmak isterim.

  • Standart access listler hedef networke yakın cihazda yazılmalıdır.
  • Standart access listler 1-99 arasında değer almaktadır.

Örnek1;

1-) Örnek network yapımız aşağıdaki görselde gözükmektedir. iki farklı networkümüz bulunmaktadır. Örnek yapımız için routerlarda interface lere ve bilgisayarlara görseldeki gibi ip tanımlaması yapılmıştır ve iki networkün birbirleriyle haberleşebilmesi için gerekli route tanımlamaları yapılmıştır. İki network birbirleriyle sorunsuz olarak haberleşebilmektedir. İlk olarak yazacağımız standart access list kuralı ile 10.0.0.10 ip adresinin 192.168.1.0/24 networküne ulaşmasını engelleyeceğiz. Bunun için hedefe yakın router (Router0) üzerinden işlem yapacağız. Hedef network (192.168.1.0/24) bu router üzerinde olduğu için bu şekilde işlem yapmamız gerekmektedir.

2-) 10.0.0.10 ip adresinin 192.168.1.0/24 networküne ulaşmasını engellemek için aşağıdaki komutları uygulamamız yeterli olacaktır;

enable
conf term
access-list 1 deny host 10.0.0.10
access-list 1 permit any
int gig0/0/1
ip access-group 1 out

Burada ilk olarak deny ile 10.0.0.10 ip adresini yasaklamış olduk. Kalan ip adreslerin networke erişebilmeleri için permit any komutunu uyguladık. Daha sonra Router0 cihazın gigabit0/0/1 portuna bu kuralı out olarak tanımladık.

3-) İlk olarak 10.0.0.10 ip adresinden 192.168.1.10 ip adresli cihaza ping atmayı deneyelim.

Görselde de gözüktüğü gibi erişim yok.

4-) Şimdi 10.0.0.11 ip adresli cihazdan 192.168.1.10 ip adresli cihaza ping atmayı deneyelim.

Ping işlemi başarılı. Kuralımız doğru olarak çalışıyor.

Örnek2;

İlk örneğimizde network ortamında sadece bir cihazı engellemek için yazmamız gereken access list kuralını öğrendik. Bu örnekte ise bir networkün farklı bir networke erişimini engellemeyi anlatacağız. Bu işlem için tekrar yukarıda kurduğumuz örnek yapıda işlem yapacağız. Bu sefer 10.0.0.0/24 networkünden 192.168.1.0/24 networküne erişimi engelleyeceğiz. Bu işlem için uygulamamız gereken komutlar aşağıdaki gibidir;

access-list 2 deny 10.0.0.0 0.0.0.255
access-list 2 permit any
int gig0/0/1
ip access-group 2 out

Evet bu işlemden sonra 10.0.0.0/24 networkündeki hiçbir cihaz 192.168.1.0/24 networküne ulaşamayacaktır.