ACL — IT Blog

Ограничение доступа к управлению на Huawei S2326TP-EI

Приведу пример настройки ACL для ограничения доступа к Telnet, SSH, SNMP на коммутаторах серии Huawei S2300.

Примеры ACL для D-Link коммутаторов

В этой статье я приведу несколько примеров блокировки IP адресов, MAC адресов, DHCP пакетов от DHCP серверов и т.д

Блокировка социальных сетей на Cisco

На тесте использую коммутатор Cisco Catalyst 6509-E.
Допустим нам необходимо заблокировать доступ пользователям к определенному сайту, узлу сети, или например социальной сети ВКонтакте.

Сначала узнаем диапазон IP адресов на которых находится сайт, например поищем VKontakte на bgp.he.net, вот к примеру список подсетей для одной из AS принадлежащей ВКонтакте «http://bgp.he.net/AS47541#_prefixes».

И создадим расширенный ACL например с именем BLOCKSOCIAL:

ip access-list extended BLOCKSOCIAL
deny ip any 87.240.128.0 0.0.63.255
deny ip any 93.186.224.0 0.0.7.255
deny ip any 93.186.232.0 0.0.7.255
deny ip any 95.142.192.0 0.0.15.255
deny ip any 95.213.0.0 0.0.63.255
deny ip any 185.29.130.0 0.0.0.255
deny ip any 185.32.248.0 0.0.3.255
permit ip any any
exit

В правиле выше указано что нужно блокировать трафик к указанным сетям идущий от всех (any) источников.
Можно в качестве источника указать определенную сеть или например одному адресу запретить доступ к другому адресу:

deny ip host 192.168.5.1 host 192.168.11.54

Строчка permit ip any any должна быть обязательно именно в конце.

Вместо маски подсети нужно указывать Wildcard, например для маски /24 указывать 0.0.0.255, для /22 — 0.0.3.255 и т.д., можно посмотреть и посчитать на любом IP калькуляторе.
/17 — 0.0.127.255
/18 — 0.0.63.255
/19 — 0.0.31.255
/20 — 0.0.15.255
/21 — 0.0.7.255
/22 — 0.0.3.255
/23 — 0.0.1.255
/24 — 0.0.0.255

Если нужно блокировать еще какие-то сайты, то допишем адреса в этот же ACL, так как применить к интерфейсу ACL можно только один.

Применим созданный ACL на порт смотрящий в сторону клиентов:

interface GigabitEthernet1/1
ip access-group BLOCKSOCIAL in

Либо, чтоб меньше писать только к порту сервера смотрящего в интернет, если такой есть:

interface TenGigabitEthernet3/2
ip access-group BLOCKSOCIAL in

Отменить ACL интерфейсу можно так:

no ip access-group BLOCKSOCIAL in

Удалить ACL так:

no ip access-list extended BLOCKSOCIAL

Если блокировать сайты на порту от сервера до клиентов, то в ACL правиле поменяем адреса местами:

ip access-list extended BLOCKSOCIAL
deny ip 87.240.128.0 0.0.63.255 any
deny ip 93.186.224.0 0.0.7.255 any
deny ip 93.186.232.0 0.0.7.255 any
deny ip 95.142.192.0 0.0.15.255 any
deny ip 95.213.0.0 0.0.63.255 any
deny ip 185.29.130.0 0.0.0.255 any
deny ip 185.32.248.0 0.0.3.255 any
deny ip host 192.168.5.1 any
permit ip any any
exit

Настройка ACL на Ubiquiti устройствах

Допустим мы хотим настроить ACL (список контроля доступа) на точке доступа Ubiquiti.

В веб-интерфейсе устройства откроем вкладку «Wireless«.

В самом низу напротив «MAC ACL:» поставим галочку на «Enable«.

И выберем «Policy:«, на «Allow» (означает что в списке будут устройства которым разрешено подключаться, всем кто не прописан — нельзя) либо «Deny» (в списке устройства которым нельзя подключаться, а всем остальным можно).

Нажав на кнопку «ACL…«, в открывшемся окне чтобы добавить устройство, в первом поле укажем его MAC, во втором любое желаемое описание и нажмем «Add«, потом «Save«.
И последний этап — в самом верху жмем кнопку «Apply«, после чего изменения сохранятся и применяться без потери связи с устройством (без перезагрузки).

Блокировка multicast IP адресов на D-Link

Для блокировки multicast ip адресов буду использовать ACL. На примере мультикастом вещается IPTV через D-Link DGS-3612G и допустим что некоторые каналы необходимо заблокировать, для этого создадим следующие ACL правила:

Установка и использование Firewall Builder (fwbuilder)

Firewall Builder — утилита позволяющая легко подготовить правила для множества брандмауэров, например iptables, ipfw, acl для HP, Cisco и т.д.

Утилиту можно fwbuilder запускать как под Windows так и Linux, в Linux когда она установлена ее можно запускать из меню или набрав команду fwbuilder.

В Linux Ubuntu fwbuilder можно установить скачав его по ссылке http://sourceforge.net/projects/fwbuilder/files/Current_Packages/ и запустив скачанный файл либо через консоль, например командой:
dpkg -i fwbuilder_5.1.0.3599-ubuntu-precise-1_amd64.deb

Инструкцию по использованию fwbuilder для dd-wrt можно посмотреть на официальном сайте http://www.dd-wrt.com/wiki/index.php/Firewall_Builder

Блокировка DHCP пакетов на D-Link DES-38xx

Ничего сложного, просто создаем ACL правило, благодаря которому на определенных портах коммутатор будет отбрасывать либо пропускать пакеты которые идут на 67 порт клиента от DHCP сервера и таким образом он не получит IP от ненужных DHCP серверов.