ตัวอย่างการทำ access-list บน cisco โดยเปิดพอร์ตที่จำเป็นนอกนั้นปิดหมด

ตัวอย่างการทำ access-list บน cisco โดยเปิดพอร์ตที่จำเป็นนอกนั้นปิดหมด

จัดทำเืมื่อ : 17/10/2549
โดย อดิศร และวิรัช

บทนำ
นโยบายการทำใ้นที่นี้คือเปิดเฉพาะพอร์ตที่ำจำเป็นต้องใช้งานเท่านั้น ที่เหลือก็ให้ปิดหมดครับ

กรณีที่ไม่มี Server อยู่ภายใน
ขั้นตอนการทำ เป็นดังนี้:

Router#conf t
Router(config)#access-list 100 permit tcp any any range 20 23
Router(config)#access-list 100 permit tcp any any eq 25
Router(config)#access-list 100 permit tcp any any eq 53
Router(config)#access-list 100 permit tcp any any eq 80
Router(config)#access-list 100 permit tcp any any eq 110
Router(config)#access-list 100 permit tcp any any eq 143
Router(config)#access-list 100 permit tcp any any eq 443
Router(config)#access-list 100 permit udp any any eq 53
Router(config)#access-list 100 permit udp any any eq 161
Router(config)#access-list 100 permit tcp any any eq 3306
Router(config)#access-list 100 permit icmp any any echo
Router(config)#access-list 100 deny ip any any

Router(config)#int f0
Router(config-if)#ip access-group 100 in

กรณีที่่มี Server อยู่ภายใน
สมมุติมี Server และ IP ของแต่ละ Server เป็นดังนี้
Web Server : 202.129.49.194
FTP Server : 202.129.49.195
DNS Server : 202.129.49.196
Mail Server : 202.129.49.197

ขั้นตอนการทำ เป็นดังนี้:

Router#conf t
Router(config)#access-list 100 permit tcp any any range 20 23
Router(config)#access-list 100 permit tcp any any eq 25
Router(config)#access-list 100 permit tcp any any eq 53
Router(config)#access-list 100 permit tcp any any eq 80
Router(config)#access-list 100 permit tcp any any eq 110
Router(config)#access-list 100 permit tcp any any eq 143
Router(config)#access-list 100 permit tcp any any eq 443
Router(config)#access-list 100 permit udp any any eq 53
Router(config)#access-list 100 permit udp any any eq 161
Router(config)#access-list 100 permit tcp any any eq 3306
Router(config)#access-list 100 permit icmp any any echo

Router(config)#access-list 100 permit tcp host 202.129.49.194 eq 80 any        <สำหรับ Web Server>
Router(config)#access-list 100 permit tcp host 202.129.49.195 any                    <สำหรับ FTP Server ไม่กำหนดพอร์ตเพราะ FTP ไม่ใช่แค่ TCP 20-21>
Router(config)#access-list 100 permit tcp host 202.129.49.196 eq 53 any        <สำหรับ DNS Server : tcp>
Router(config)#access-list 100 permit udp host 202.129.49.196 eq 53 any      <สำหรับ DNS Server : udp >
Router(config)#access-list 100 permit tcp host 202.129.49.197 eq 25 any        <สำหรับ SMTP>
Router(config)#access-list 100 permit tcp host 202.129.49.197 eq 110 any     <สำหรับ pop3>
Router(config)#access-list 100 permit tcp host 202.129.49.197 eq 143 any     <สำหรับ imap>
Router(config)#access-list 100 deny ip any any

Router(config)#int f0
Router(config-if)#ip access-group 100 in

-------จบครับ--------