*****************************资料来源自网络,仅用于交流!********************************** 概念: 1.ESTABLISHED是 访问 列表 中用于反射性的,相当于反谢 访问 列表 --相似。 也就是只有TCP会话先建立,返回的数据包中必须有源TCP相对应的端口 和一定的
*****************************资料来源自网络,仅用于交流!**********************************
概念:
1.ESTABLISHED是访问列表中用于反射性的,相当于反谢访问列表--相似。
也就是只有TCP会话先建立,返回的数据包中必须有源TCP相对应的端口
和一定的标识字段,才被允许通过 ,换句话话说,它有局限性,
一是,会话必须邮内向外发起,
二是它只适合于TCP会话,不适合于UDP
三是对于FTP这种在客户端和服务器端建立会话时会改变PORT NUMBER的,它不适用。
2.自反访问控制列表
自反访问列表的英文名字是Reflexive Access Lists,Reflexive这个词我们翻译成自反,他会根据一个方向的访问控制列表,自动创建出一个反方向的控制列表,是和原来的控制列表—IP的源地址和目的地址颠倒,并且源端口号和目的端口号完全相反的一个列表。并且还有一定的时间限制,过了时间,就会超时,这个新创建的列表就会消失,这样大大增加了安全性。
*******************************************************************************************
【自反ACL】自反访问控制列表
Reflexive Access Lists
1.一个面临的控制问题
我们首先看下图
图片附件: outinnet.jpg
有这样一个要求,就是我们要允许内部的机器可以访问外部,可是不允许外部的主机访问内部,有人说,这个简单,用一个访问控制列表,在Seial1上做如下配置
router(config)#access-list 100 deny ip any any
router(config-if)#ip access-group 100 in
这样做的结果是外面肯定不能访问内部了,可是我们从内部出去的数据包也甭想回来了,所以这种做法不行
我们可以继续开动脑筋,我们知道TCP在建立连接之前,有一个三次握手过程,在TCP的包头里面有一个标志位,我们的扩展访问控制列表可以对这个标志位进行控制。我们分析下,内部主机向外发起连接的时候,SYN位为1,而外部的主机回应包里面为 SYN=1 ACK=1
而一个外部主机要想内部发起连接,他的第一个包只是SYN=1,而ACK=0,所以,我们可以通过这种方式来做
Router(config)#access-list 100 permit tcp any any ack
或者
Router(config)#access-list 100 permit tcp any any established
然后应用到接口上
router(config-if)#ip access-group 100 in
这个方法是可以,但是如果不是TCP的应用,是UDP的程序该如何办?很显然,通过这个方式是解决不了的。我们用自反访问列表就可以很好的解决这个问题
2.自反访问控制列表
自反访问列表的英文名字是Reflexive Access Lists,Reflexive这个词我们翻译成自反,如何自反呢?就是他会根据一个方向的访问控制列表,自动创建出一个反方向的控制列表,那么,创建一个什么样的控制列表呢?就是和原来的控制列表—IP的源地址和目的地址颠倒,并且源端口号和目的端口号完全相反的一个列表。并且还有一定的时间限制,过了时间,就会超时,这个新创建的列表就会消失,这样大大增加了安全性。
具体案例:
拓扑图如下 图片附件: 3router1.jpg 
需求如下:
R1模仿内网,R3模仿外网,现在要求R1可以远程登录到R3,但是不允许R3发起任何到R1的连接。
三台路由器初始配置如下:
R1#sh run
interface Serial0
ip address 10.1.1.1 255.255.255.0
router ospf 1
log-adjacency-changes
network 0.0.0.0 255.255.255.255 area 0
line vty 0 4
password cisco
login
R2#sh run
interface Serial0
ip address 10.1.1.2 255.255.255.0
clockrate 64000
interface Serial1
ip address 192.168.1.1 255.255.255.0
clockrate 64000
router ospf 1
log-adjacency-changes
network 0.0.0.0 255.255.255.255 area 0
R3#sh run
interface Loopback0
ip address 3.3.3.3 255.255.255.0
interface Ethernet0
no ip address
shutdown
interface Serial0
no ip address
interface Serial1
ip address 192.168.1.2 255.255.255.0
router ospf 1
log-adjacency-changes
network 0.0.0.0 255.255.255.255 area 0
line vty 0 4
password cisco
login
R1上的路由表
R1#sh ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
* - candidate default, U - per-user static route, o - ODR
P - periodic downloaded static route
Gateway of last resort is not set
3.0.0.0/32 is subnetted, 1 subnets
O 3.3.3.3 [110/129] via 10.1.1.2, 00:03:42, Serial0
10.0.0.0/24 is subnetted, 1 subnets
C 10.1.1.0 is directly connected, Serial0
O 192.168.1.0/24 [110/128] via 10.1.1.2, 00:03:42, Serial0
测试一下
R1#ping 3.3.3.3
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 3.3.3.3, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 60/62/68 ms
R1#
R1#telnet 3.3.3.3
Trying 3.3.3.3 ... Open
User Access Verification
Password:
R3>
在R3上测试一下:
R3#ping 10.1.1.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.1.1.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 60/60/60 ms
R3#telnet 10.1.1.1
Trying 10.1.1.1 ... Open
User Access Verification
Password:
R1>
路由是通畅的,R1可以正常的远程登录到R3,因为没有作任何控制,所以R3照样可以访问R1
解决方案1:
使用扩展访问控制列表,控制TCP标志位
在R2上做如下配置
interface Serial1
ip address 192.168.1.1 255.255.255.0
ip access-group 100 in
clockrate 64000
access-list 100 permit tcp any any established //用ACK也行
access-list 100 permit ospf any any //保持ospf路由协议正常工作
R1上做测试:
R1#ping 3.3.3.3
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 3.3.3.3, timeout is 2 seconds:
.....
Success rate is 0 percent (0/5)
R1#telnet 3.3.3.3
Trying 3.3.3.3 ... Open
User Access Verification
Password:
R3>
这个时候,我们发现不能ping 通了,原因是什么呢?
access-list 100 permit tcp any any established
access-list 100 permit ospf any any
我们在访问控制列表中没有允许ICMP协议,所以返回的数据包在R2上面被拒绝掉了,但是telnet成功了,因为我们在进来的访问控制列表里允许了TCP。
在R3上做测试:
R3#ping 10.1.1.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.1.1.1, timeout is 2 seconds:
U.U.U
Success rate is 0 percent (0/5)
R3#telnet 10.1.1.1
Trying 10.1.1.1 ...
% Destination unreachable; gateway or host down
我们看R3是不能访问R1的任何东西了,为什么呢?ping不通的原因是我们在R2上阻止了ICMP,而telnet为什么不行呢,虽然我们允许了TCP包,但是因为是R3向R1发起初始化连接,TCP里面的标志位SYN=1,ACK=0,而我们的访问控制列表的关键词established定义了只有ACK=1的包才能被允许,所以,这个初始连接包就被拒绝了,那么我们这种做法就满足了试验要求。
解决方案2:
使用自反访问控制列表
在R2 做如下配置
interface Serial0
ip address 10.1.1.2 255.255.255.0
ip access-group tcp-out in
clockrate 64000
!
interface Serial1
ip address 192.168.1.1 255.255.255.0
ip access-group tcp-in in
clockrate 64000
ip access-list extended tcp-in
permit ospf any any
evaluate telnet
ip access-list extended tcp-out
permit ospf any any
permit tcp any any reflect telnet
需要注意以下几点
1) 自反访问控制列表只能和基于名字的扩展访问控制列表一起工作
2) 他自己不能工作,必须寄生于扩展访问控制列表,并且有两个访问列表才行,也就是
一个列表创建自反列表
例如
ip access-list extended tcp-out
permit tcp any any reflect telnet
注意关键词 refect,当由符合tcp any any 的数据流通过的时候,就会产生一个名字叫做telnet的自反列表,但是它是产生而已,还不能被使用,因为没与应用到接口上
令外一个列表进行调用
ip access-list extended tcp-in
evaluate telnet
在进来的访问列表里面,用关键字evaluate 来调用已经产生的telnet自反列表。
在R1上做测试
R1>en
R1#telnet 3.3.3.3
Trying 3.3.3.3 ... Open
User Access Verification
Password:
R3>
我们看看R2上:
R2#show access-lists
Extended IP access list tcp-in
10 permit ospf any any (72 matches)
20 evaluate telnet
Extended IP access list tcp-out
20 permit ospf any any (72 matches)
30 permit tcp any any reflect telnet
Reflexive IP access list telnet
permit tcp host 3.3.3.3 eq telnet host 10.1.1.1 eq 11003 (26 matches) (time left 258)
已经产生了一个自反访问控制列表,他的源端口是23,目的端口是11003,正好是我们刚才从R1上telnet的返回的数据流。
从R3上做下测试:
R3#telnet 10.1.1.1
Trying 10.1.1.1 ...
% Destination unreachable; gateway or host down
我们看不成功,这个连接的源端口号是一个大于10000得一个随机端口号,目的端口号是23 ,但是访问控制列表并不允许这样的数据流,所以访问失败,这个满足我们的试验需求。
我们还可以对这个自反列表存在时间进行控制,我们看看这个自反列表
permit tcp host 3.3.3.3 eq telnet host 10.1.1.1 eq 11003 (26 matches) (time left 258),time left 258是指如果没有数据流的情况下,再过258秒,这个自反列表既要从缓存中被清掉。这无疑增加了安全性,降低了被IP欺骗的可能。
这个时间我们可以用如下的方式修改:
ip access-list extended tcp-out
permit tcp any any reflect telnet timeout 600 //单位是秒
另外在全局模式下,可以使用另外一个命令修改超时时间:
r2(config)#ip reflexive-list timeout 600
这样就把时间改成了10分钟,而默认是5分钟
现在有一个新的需求:
我们要求在R2可以telnet到R3,但是R3不能访问R2
我们在R2 上做如下配置
interface Serial1
ip address 192.168.1.1 255.255.255.0
ip access-group tcp-in in
ip access-group tcp-out out
clockrate 64000
ip access-list extended tcp-in
permit ospf any any
evaluate telnet
ip access-list extended tcp-out
permit ospf any any
permit tcp any any reflect telnet
我们首先在R3上测试一下:
R3#telnet 192.168.1.1
Trying 192.168.1.1 ...
% Destination unreachable; gateway or host down
结果是满意的
我们再在R2上测试一下:
R2#telnet 3.3.3.3
Trying 3.3.3.3 ...
% Connection timed out; remote host not responding
结果却出乎我们的预料。原因在哪里?
我们看一下R2上的访问列表
R2#show access-lists
Extended IP access list tcp-in
10 permit ospf any any (230 matches)
20 evaluate telnet
Extended IP access list tcp-out
20 permit ospf any any (202 matches)
30 permit tcp any any reflect telnet
Reflexive IP access list telnet
自反列表竟然为空!这是为什么呢?原因在于访问列表的一个特性,就是出去的访问列表不对这个路由器自己产生的数据包进行检查,也就是我们从R2上telnet 到R3的数据流是从R2产生的,所以没有经过这个下面这个访问控制列表的检查
ip access-list extended tcp-out
permit ospf any any
permit tcp any any reflect telnet
访问控制列表,那么自然就不会产生自反访问列表telnet了。
解决的办法有两个:
一个是通过本地路由策略(local policy route-map)
ip local policy route-map cisco
route-map cisco permit 10
match ip address tcp-out
在R2上再测试一下:
R2#telnet 3.3.3.3
Trying 3.3.3.3 ... Open
User Access Verification
Password:
R3>
R2上看下访问列表:
//注意,不能在上面的配置中打exit,如果是这样,那么自反列表剩下的时间立刻被降为6秒,不好观察结果,我采用的是在R1上远程登录(telnet)到R2再观察
r2#show access-lists
Extended IP access list tcp-in
10 permit ospf any any (8 matches)
20 evaluate telnet
Extended IP access list tcp-out
10 permit ospf any any
20 permit tcp any any reflect telnet
Reflexive IP access list telnet
permit tcp host 3.3.3.3 eq telnet host 192.168.1.1 eq 11002 (time left 297)
好的,我们看看现在就可以了!
当然,我们还有另外的一个方法:
R2上这样配置:
ip access-list extended tcp-in
permit ospf any any
evaluate telnet
permit tcp any eq telnet any ack---------------------------加上了这条指令
ip access-list extended tcp-out
permit ospf any any
permit tcp any any reflect telnet
在R2上测试:
r2#telnet 3.3.3.3
Trying 3.3.3.3 ... Open
User Access Verification
Password:
R3>
成功登陆,符合我们的期望:
在R3上进行测试:
R3#telnet 192.168.1.1
Trying 192.168.1.1 ...
% Destination unreachable; gateway or host down
结果也是我们所需要的
总结:
自反访问控制列表在第四层上分析数据流,是一个按需生成的控制列表,在没有数据流的时候,也就是不需要的时候,会自动消失,是一种较自动化的数据控制方式,在一定程度上防止了IP地址欺骗攻击,非常有效的保护了用户的网络免受黑客破坏,并且对UDP数据包最有效(对于UDP包,扩展访问控制列表毫无办法)。
如何在Java中访问JsonNode的JSON字段、数组和嵌套对象?Aug 30, 2023 pm 11:05 PM一个JsonNode是Jackson的JSON树模型,它可以将JSON读取为JsonNode实例,并将JsonNode写入JSON。通过创建ObjectMapper实例并调用readValue()方法,我们可以使用Jackson将JSON读取为JsonNode。我们可以使用JsonNode类的get()方法访问字段、数组或嵌套对象。我们可以使用asText()方法返回有效的字符串表示,并使用JsonNode类的asInt()方法将节点的值转换为Javaint。在下面的示例中,我们可以访问Json
iOS 17:如何控制哪些应用程序可以访问您的照片Sep 13, 2023 pm 09:09 PM在iOS17中,Apple可以更好地控制应用程序可以看到的照片内容。继续阅读,了解如何按应用管理应用访问权限。在iOS中,Apple的应用内照片选取器可让您与应用共享特定照片,而照片图库的其余部分则保持私密。应用必须请求访问您的整个照片图库,您可以选择授予应用以下访问权限:受限访问–应用程序只能看到您可以选择的图像,您可以随时在应用程序中或通过转到“设置”>“隐私和安全”>“照片”来查看所选图像。完全访问权限–App可以查看照片
利用PHP控制摄像头:从连接到拍摄的全过程解析Jul 30, 2023 pm 03:21 PM利用PHP控制摄像头:从连接到拍摄的全过程解析摄像头的应用越来越广泛,例如视频通话、监控系统等。而在Web应用中,我们常常需要通过PHP来控制和操作摄像头。本文将介绍如何利用PHP来实现从摄像头连接到拍摄的全过程。确认摄像头的连接状态在开始操作摄像头之前,我们首先需要确认摄像头的连接状态。PHP提供了扩展库video来实现对摄像头的操作。我们可以通过以下代码
![如何禁用媒体音量控制弹出窗口[永久]](https://img.php.cn/upload/article/000/000/164/168493981948502.png)
如何禁用媒体音量控制弹出窗口[永久]May 24, 2023 pm 10:50 PM当您使用相应的快捷键微调音量级别时,屏幕上会出现一个媒体音量控制弹出窗口。这可能很烦人,因此请继续阅读以找出永久禁用媒体音量控制弹出窗口的不同方法。如何禁用媒体音量控制弹出窗口?1.在谷歌浏览器中单击任务栏上的Windows图标,在顶部的搜索栏中键入chrome,然后选择相关搜索结果以启动谷歌浏览器。在地址栏中键入或复制粘贴以下内容,然后按键。Enterchrome://flags在顶部的搜索框中键入媒体密钥,然后在硬件媒体密钥处理下拉列表中选择禁用。现在退出谷歌浏览器应用程序并重新启动它。谷歌
使用Python访问各种音频和视频文件的元数据Sep 05, 2023 am 11:41 AM我们可以使用Mutagen和Python中的eyeD3模块访问音频文件的元数据。对于视频元数据,我们可以使用电影和Python中的OpenCV库。元数据是提供有关其他数据(例如音频和视频数据)的信息的数据。音频和视频文件的元数据包括文件格式、文件分辨率、文件大小、持续时间、比特率等。通过访问这些元数据,我们可以更有效地管理媒体并分析元数据以获得一些有用的信息。在本文中,我们将了解Python提供的一些用于访问音频和视频文件元数据的库或模块。访问音频元数据一些用于访问音频文件元数据的库是-使用诱变
解决Tomcat部署war包后无法访问的问题的方法Jan 13, 2024 pm 12:07 PM如何解决Tomcat部署war包后无法成功访问的困扰,需要具体代码示例Tomcat作为一个广泛使用的JavaWeb服务器,允许开发人员将自己开发的Web应用打包为war文件进行部署。然而,有时候我们可能会遇到部署war包后无法成功访问的问题,这可能是由于配置不正确或其他原因引起的。在本文中,我们将提供一些解决这个困扰的具体代码示例。一、检查Tomcat服务
win7修改文件提示更改权限拒绝访问如何解决Jul 04, 2023 pm 07:01 PMwin7修改文件提示更改权限拒绝访问如何解决?一些系统文件在进行修改的时候,常常会提示我们没有权限去进行操作。我们可以去进行文件夹权限的功能关闭,或者获取管理员权限。需要修改此类文件的用户,一起来看看接下来具体的教程分享吧。win7修改文件提示更改权限拒绝访问解决办法 1、首先选中对应文件夹,点击上方工具,选中文件夹选项。 2、进入查看选项卡。 3、取消勾选使用简单文件共享然后确定。 4、然后右键选择对应文件夹,点击属性。 5、进入安全选项卡。 6、选择图示位置,点击高级。 7
win10家庭版共享文件夹无法访问怎么办Jan 11, 2024 pm 07:36 PM在家庭或企业网络环境下,共享文件夹确实是一项极其实用的功能,它能让您轻松地将文件夹分享给其他用户,从而便于文件的传输与分享。win10家庭版共享文件夹无法访问解决方法:解决方案一:检查网络连接和用户权限在尝试使用Win10共享文件夹时,我们首先需要确认网络连接及用户权限是否正常。若网络连接存在故障或用户未获得访问共享文件夹的权限,便可能导致无法访问的现象。1、首先请确保网络连接顺畅,以便计算机与共享文件夹所在的计算机在同一局域网中,能够正常进行通信。2、其次检查用户权限,确认当前用户对于共享文件
热AI工具
Undresser.AI Undress
人工智能驱动的应用程序,用于创建逼真的裸体照片
AI Clothes Remover
用于从照片中去除衣服的在线人工智能工具。
Undress AI Tool
免费脱衣服图片
Clothoff.io
AI脱衣机
AI Hentai Generator
免费生成ai无尽的。
热门文章
热工具
PhpStorm Mac 版本
最新(2018.2.1 )专业的PHP集成开发工具
SublimeText3 Mac版
神级代码编辑软件(SublimeText3)
mPDF
mPDF是一个PHP库,可以从UTF-8编码的HTML生成PDF文件。原作者Ian Back编写mPDF以从他的网站上“即时”输出PDF文件,并处理不同的语言。与原始脚本如HTML2FPDF相比,它的速度较慢,并且在使用Unicode字体时生成的文件较大,但支持CSS样式等,并进行了大量增强。支持几乎所有语言,包括RTL(阿拉伯语和希伯来语)和CJK(中日韩)。支持嵌套的块级元素(如P、DIV),
记事本++7.3.1
好用且免费的代码编辑器
安全考试浏览器
Safe Exam Browser是一个安全的浏览器环境,用于安全地进行在线考试。该软件将任何计算机变成一个安全的工作站。它控制对任何实用工具的访问,并防止学生使用未经授权的资源。
