Operaciones comunes de ACL: Configurar una regla de filtrado de paquetes

73 0 0 0

Operaciones comunes de ACL: Configurar una regla de filtrado de paquetes



Configuración de una regla de filtrado de paquetes para paquetes ICMP según la dirección IP de origen (dirección de host) y el segmento de dirección IP de destino

Para permitir que los paquetes ICMP de un host que están destinados a un segmento de red, configure una regla en una ACL. Por ejemplo, para permitir que pasen los paquetes ICMP del host 192.168.1.3 que están destinados al segmento de red 192.168.2.0/24, configure la siguiente regla en ACL 3001.

<HUAWEI> system-view

[HUAWEI] acl 3001

[HUAWEI-acl-adv-3001] rule permit icmp source 192.168.1.3 0 destination 192.168.2.0 0.0.0.255

 

 

Configuración de una regla de filtrado de paquetes para paquetes TCP según el número de puerto de destino de TCP, la dirección IP de origen (dirección de host) y el segmento de dirección IP de destino

·         Para prohibir las conexiones Telnet entre el host especificado y los hosts en un segmento de red, configure una regla en una ACL avanzada. Por ejemplo, para prohibir las conexiones Telnet entre el host 192.168.1.3 y los hosts en el segmento de red 192.168.2.0/24, configure la siguiente regla en la ACL avanzada deny-telnet.

<HUAWEI> system-view
[HUAWEI] acl name deny-telnet
[HUAWEI-acl-adv-deny-telnet] rule deny tcp destination-port eq telnet source 192.168.1.3 0 destination 192.168.2.0 0.0.0.255 

·         Para prohibir que los hosts especificados accedan a páginas web (HTTP se usa para acceder a páginas web y el número de puerto TCP es 80), configure las reglas en una ACL avanzada. Por ejemplo, para prohibir que los hosts 192.168.1.3 y 192.168.1.4 accedan a páginas web, configure las siguientes reglas en la ACL no-web y configure la descripción de la ACL a restricciones de acceso a la web.

<HUAWEI> system-view
[HUAWEI] acl name no-web
[HUAWEI-acl-adv-no-web] description Web access restrictions
[HUAWEI-acl-adv-no-web] rule deny tcp destination-port eq 80 source 192.168.1.3 0
[HUAWEI-acl-adv-no-web] rule deny tcp destination-port eq 80 source 192.168.1.4 0

 

Configuración de una regla de filtrado de paquetes TCP según el segmento de dirección IP de origen y los indicadores TCP

Para implementar el control de acceso unidireccional en un segmento de red, configure las reglas en una ACL. Por ejemplo, para implementar el control de acceso unidireccional en el segmento de red 192.168.2.0/24, configure las siguientes reglas en ACL 3002. En las siguientes reglas, los hosts en 192.168.2.0/24 solo pueden responder a los paquetes del handshake TCP, sin embargo no pueden enviar paquetes TCP para iniciar el handshake.

Establezca las descripciones de las reglas de ACL para permitir que los paquetes ACK TCP, Permitir los paquetes RST TCP, y no permitir otros paquetes TCP.

 

Para cumplir con el requisito anterior, configure dos ACLs para permitir que pasen los paquetes ACK o RST de 192.168.2.0/24, y luego configure una regla de rechazo para rechazar otros paquetes TCP de este segmento de red.

 

<HUAWEI> system-view
[HUAWEI] acl 3002
[HUAWEI-acl-adv-3002] rule permit tcp source 192.168.2.0 0.0.0.255 tcp-flag ack
[HUAWEI-acl-adv-3002] display this   // Si no especifica un ID para una regla creada, puede ver el ID de la regla asignada por el sistema y configurar una descripción para la regla especificando la ID de la regla.
 #                                                                               
acl number 3002                                                                 
 rule 5 permit tcp source 192.168.2.0 0.0.0.255 tcp-flag ack           // El ID asignado por el Sistema es 5.      
#                                                                               
return 
[HUAWEI-acl-adv-3002] rule 5 description Allow the ACK TCP packets through
[HUAWEI-acl-adv-3002] rule permit tcp source 192.168.2.0 0.0.0.255 tcp-flag rst
[HUAWEI-acl-adv-3002] display this
#                                                                               
acl number 3002                                                                 
 rule 5 permit tcp source 192.168.2.0 0.0.0.255 tcp-flag ack syn                
 rule 5 description Allow the ACK TCP packets through                 
 rule 10 deny tcp source 192.168.2.0 0.0.0.255 tcp-flag rst       // El ID asignado por el Sistema es 10.        
#                                                                               
return   
[HUAWEI-acl-adv-3002] rule 10 description Allow the RST TCP packets through
[HUAWEI-acl-adv-3002] rule deny tcp source 192.168.2.0 0.0.0.255
[HUAWEI-acl-adv-3002] display this
#                                                                               
acl number 3002                                                                 
 rule 5 permit tcp source 192.168.2.0 0.0.0.255 tcp-flag ack syn                
 rule 5 description Allow the ACK TCP packets through                 
 rule 10 deny tcp source 192.168.2.0 0.0.0.255 tcp-flag rst                
 rule 10 description Allow the RST TCP packets through                
 rule 15 deny tcp source 192.168.2.0 0.0.0.255       //  El ID asignado por el Sistema es 15.
#                                                                               
return   
[HUAWEI-acl-adv-3002] rule 15 description Do not Allow the other TCP packet through
 
Configuración de reglas de filtrado de paquetes según la dirección MAC de origen, la dirección MAC de destino y los tipos de protocolo de capa 2
·         Para permitir que los paquetes ARP con las direcciones MAC de origen y destino especificadas y el tipo de protocolo de Capa 2 pasen, configure una regla en una ACL de capa 2. Por ejemplo, para permitir que pasen los paquetes ARP con la dirección MAC de destino 0000-0000-0001, la dirección MAC de origen 0000-0000-0002 y el tipo de protocolo de capa 2 0x0806, configure la siguiente regla en ACL 4001.

<HUAWEI> system-view

[HUAWEI] acl 4001

[HUAWEI-acl-L2-4001] rule permit destination-mac 0000-0000-0001 source-mac 0000-0000-0002 l2-protocol 0x0806

·         Para rechazar los paquetes PPPoE con el tipo de protocolo de Capa 2 especificado, configure una regla en una ACL de Capa 2. Para rechazar los paquetes PPPoE con el protocolo de capa 2 tipo 0x8863, configure la siguiente regla en ACL 4001.
<HUAWEI> system-view
[HUAWEI] acl 4001
[HUAWEI-acl-L2-4001] rule deny l2-protocol 0x8863
 
Configuración de una regla de filtrado de paquetes basada en el segmento de dirección MAC de origen y las ID de VLAN internas
Para rechazar los paquetes de los segmentos de dirección MAC especificados en una VLAN, configure una regla en una ACL de capa 2. Por ejemplo, para rechazar los paquetes del segmento de dirección MAC de origen 00e0-fc01-0000 a 00e0-fc01-ffff en la VLAN 10, configure la siguiente regla en la ACL de capa 2 deny-vlan10-mac.
<HUAWEI> system-view
[HUAWEI] acl name deny-vlan10-mac link
[HUAWEI-acl-L2-deny-vlan10-mac] rule deny vlan-id 10 source-mac 00e0-fc01-0000 ffff-ffff-0000
 
Configuración de reglas de filtrado de paquetes basadas en encabezados de capa 2, offsets, máscaras de cadenas de caracteres y cadenas de caracteres definidas por el usuario
·         Para rechazar los paquetes ARP del host especificado, configure una regla en una ACL definida por el usuario. Por ejemplo, para rechazar los paquetes ARP del host 192.168.0.2, configure la siguiente regla en ACL 5001.
En la siguiente regla:
·         0x00000806 indica el protocolo ARP.
·         0x0000ffff es la máscara de cadena de caracteres.
·         10 indica el offset del campo TYPE en los paquetes ARP (sin VLAN ID).
·         c0a80002 es el formato hexadecimal de 192.168.0.2.
·         26 y 30 respectivamente indican el offset de los dos bytes más altos y más bajos en las direcciones IP de origen en paquetes ARP (sin ID de VLAN). La dirección IP de origen en un paquete ARP comienza en el byte 28 del encabezado de capa 2 y ocupa 4 bytes. El offset del encabezado de capa 2 definido en una ACL definida por el usuario debe ser 4n + 2 (n es un número entero). Por lo tanto, la dirección IP de origen se divide en dos segmentos para que coincidan. Los dos bytes más bajos entre los cuatro bytes detrás del desplazamiento 26 (4 x 6 + 2) y los dos bytes más altos entre los cuatro bytes detrás del desplazamiento 30 (4 x 7 + 2) coinciden por separado.
Para filtrar paquetes ARP con VLAN ID, agregue 4 a cada una de los siguientes offsets.
Figura 1 Offset del campo de dirección IP de origen en el encabezado de capa 2 de un paquete ARP
 

<HUAWEI> system-view

[HUAWEI] acl 5001

[HUAWEI-acl-user-5001] rule deny l2-head 0x00000806 0x0000ffff 10 0x0000c0a8 0x0000ffff 26 0x00020000 0xffff0000 30

 
 NOTA:
Las ACL de usuario configuradas en un S2750, S5710-C-LI, S5710-X-LI, S5700LI y S5700S-LI no son compatibles con esta configuración y solo pueden coincidir con cadenas de caracteres.
 
·         Para rechazar todos los paquetes TCP, configure una regla en la ACL definida por el usuario deny-tcp.
En la siguiente regla:
·         0x00060000 indica el protocolo TCP.
·         8 indica el offset del campo TYPE en los paquetes IP. (El campo de TYPE en un paquete IP comienza en el décimo byte en el encabezado de IPv4 y ocupa un byte. El offset del encabezado de IPv4 en una ACL definida por el usuario debe ser 4n (n es un número entero). Por lo tanto, el segundo byte más alto entre los cuatro bytes detrás del desplazamiento 8 en el encabezado de IPv4 coinciden).
<HUAWEI> system-view
[HUAWEI] acl name deny-tcp user
[HUAWEI-acl-user-deny-tcp] rule 5 deny ipv4-head 0x00060000 0x00ff0000 8
Figura 2 Offset del campo del protocolo TCP en el encabezado de IPv4
 

Información Relacionada

Comunidad de Soporte:

·         Basic Knowledge About ACL

·         ACL Matching

·         ACL Application

 

 

 


  • x
  • convención:

Comentar

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente
¡Ingresa y disfruta de todos los beneficios para los miembros!

¡Ingresa y disfruta de todos los beneficios para los miembros!

Aterrizaje