DÙNG ACL LỌC TRAFFIC Mục tiêu: Cấu hình ACL cho phép các kết nối FTP và WWW đến các server cụ thể. Không chặn các traffic cần thiết (routing, v …v). Mô hình: Hướng dẫn: • Dùng NAT tĩnh để cấu hình. Server được đề cập ở trên có IP 150.1.4.4. • Cho phép các kết nối TCP đến các port của FTP và WWW service. Cả Active và Passive FTP đều hoạt động. • Cho phép OSPF, Ping, và Traceroutes traffic trên cả hai hướng inbound và outbound. • Ping sử dụng các thông điệp ICMP ‘echo’ và ‘echo-reply’. • Traceroutes mặc định sử dụng dãy UDP port 33434 – 33464 để thăm dò mạng, và chờ các thông điệp ICMP ‘Time-Exceeded’ hoặc ‘Port-Unreachable’. • Active FTP sử dụng TCP port 21 cho kết nối inbound và port 20 cho kết nối outbound (server to client). • Passive FTP: client mở kết nối data đến các port trong dãy 1023 – 65535 (client to server). • Tạo extended access-list FROM_OUTSIDE trên R4 cho phép tất cả các kết nối đề cập ở trên. • Add ‘deny ip any any log’ ở cuối ACL để ghi lại các packet bị dừ chối. • Apply ACL lên các interface outside của R4. Cấu hình tham khảo: Bước 1: Cấu hình cơ bản: địa chỉ IP, định tuyến OSPF, NAT tĩnh Router R4 interface Loopback0 ip address 150.1.4.4 255.255.255.0 ip ospf network point-to-point ! interface FastEthernet0/0 ip address 155.1.45.4 255.255.255.0 ip nat outside ip virtual-reassembly duplex auto speed auto ! interface FastEthernet0/1 ip address 10.0.0.4 255.255.255.0 ip nat inside ip virtual-reassembly duplex auto speed auto ! router ospf 1 log-adjacency-changes network 150.1.4.0 0.0.0.255 area 0 network 155.1.45.0 0.0.0.255 area 0 ! ip nat inside source static 10.0.0.1 150.1.4.4 Router R5 interface Loopback0 ip address 150.1.5.5 255.255.255.0 ! interface FastEthernet0/0 ip address 155.1.45.5 255.255.255.0 duplex auto speed auto ! interface FastEthernet0/1 no ip address shutdown duplex auto speed auto ! router ospf 1 log-adjacency-changes network 150.1.5.0 0.0.0.255 area 0 network 155.1.45.0 0.0.0.255 area 0 Router R1 interface FastEthernet0/0 ip address 10.0.0.1 255.255.255.0 duplex auto speed auto ! ip classless ip route 0.0.0.0 0.0.0.0 10.0.0.4 Bước 2: Cấu hình extended access-list FROM_OUTSIDE trên R4 ip access-list extended FROM_OUTSIDE permit icmp any any echo permit icmp any any echo-reply permit udp any any range 33434 33464 permit icmp any any time-exceeded permit icmp any any port-unreachable permit ospf any any permit tcp any host 150.1.4.4 range ftp-data ftp permit tcp any host 150.1.4.4 range 1023 65535 permit tcp any host 150.1.4.4 eq www deny ip any any log Apply ACL lên các interface outside của R4 interface FastEthernet0/0 ip access-group FROM_OUTSIDE in Bước 3: Cấu hình R1 thành FTP server và HTTP server R1(config)#ip http server R1(config)#ftp-server enable R1(config)#ftp-server topdir flash: Tạo file test.txt trên R1 để kiểm tra FTP R1#copy running-config flash:test.txt Destination filename [test.txt]? Erase flash: before copying? [confirm]n Verifying checksum OK (0xC5CD) 910 bytes copied in 6.647 secs (137 bytes/sec) Bước 4: Kiểm tra R5#conf t Enter configuration commands, one per line. End with CNTL/Z. R5(config)#no ip ftp passive R5#copy ftp://150.1.4.1/test.txt null: Accessing ftp://150.1.4.1/test.txt Loading test.txt ! [OK - 910/4096 bytes] 910 bytes copied in 2.560 secs (355 bytes/sec) R5#conf t Enter configuration commands, one per line. End with CNTL/Z. R5(config)#ip ftp passive R5(config)#do copy ftp://150.1.4.1/test.txt null: Accessing ftp://150.1.4.1/test.txt Loading test.txt ! [OK - 910/4096 bytes] 910 bytes copied in 2.584 secs (352 bytes/sec) R5(config)# R5#telnet 150.1.4.1 80 Trying 150.1.4.1, 80 Open R5#disc 1 Closing connection to 150.1.4.1 [confirm] R5#telnet 150.1.4.1 Trying 150.1.4.1 % Destination unreachable; gateway or host down . DÙNG ACL LỌC TRAFFIC Mục tiêu: Cấu hình ACL cho phép các kết nối FTP và WWW đến các server cụ thể. Không chặn các traffic cần thiết (routing, v …v). Mô hình: Hướng dẫn: • Dùng NAT tĩnh. phép tất cả các kết nối đề cập ở trên. • Add ‘deny ip any any log’ ở cuối ACL để ghi lại các packet bị dừ chối. • Apply ACL lên các interface outside của R4. Cấu hình tham khảo: Bước 1: Cấu hình. và WWW service. Cả Active và Passive FTP đều hoạt động. • Cho phép OSPF, Ping, và Traceroutes traffic trên cả hai hướng inbound và outbound. • Ping sử dụng các thông điệp ICMP ‘echo’ và ‘echo-reply’. •