搜索
首页数据库mysql教程自反访问控制列表 (偶找的另一个版本)

*****************************资料来源自网络,仅用于交流!********************************** 概念: 1.ESTABLISHED是 访问 列表 中用于反射性的,相当于反谢 访问 列表 --相似。 也就是只有TCP会话先建立,返回的数据包中必须有源TCP相对应的端口 和一定的

*****************************资料来源自网络,仅用于交流!**********************************

概念:

1.ESTABLISHED是访问列表中用于反射性的,相当于反谢访问列表--相似。
也就是只有TCP会话先建立,返回的数据包中必须有源TCP相对应的端口
和一定的标识字段,才被允许通过 ,换句话话说,它有局限性,
一是,会话必须邮内向外发起,
二是它只适合于TCP会话,不适合于UDP
三是对于FTP这种在客户端和服务器端建立会话时会改变PORT NUMBER的,它不适用。

 2.自反访问控制列表
自反访问列表的英文名字是Reflexive Access Lists,Reflexive这个词我们翻译成自反,他会根据一个方向的访问控制列表,自动创建出一个反方向的控制列表,是和原来的控制列表—IP的源地址和目的地址颠倒,并且源端口号和目的端口号完全相反的一个列表。并且还有一定的时间限制,过了时间,就会超时,这个新创建的列表就会消失,这样大大增加了安全性。

*******************************************************************************************

自反ACL】自反访问控制列表
Reflexive Access Lists
1.一个面临的控制问题

我们首先看下图


图片附件: outinnet.jpg

自反访问控制列表 (偶找的另一个版本)

有这样一个要求,就是我们要允许内部的机器可以访问外部,可是不允许外部的主机访问内部,有人说,这个简单,用一个访问控制列表,在Seial1上做如下配置
router(config)#access-list 100 deny ip any any
router(config-if)#ip access-group 100 in
这样做的结果是外面肯定不能访问内部了,可是我们从内部出去的数据包也甭想回来了,所以这种做法不行

我们可以继续开动脑筋,我们知道TCP在建立连接之前,有一个三次握手过程,在TCP的包头里面有一个标志位,我们的扩展访问控制列表可以对这个标志位进行控制。我们分析下,内部主机向外发起连接的时候,SYN位为1,而外部的主机回应包里面为 SYN=1 ACK=1
一个外部主机要想内部发起连接,他的第一个包只是SYN=1,而ACK=0,所以,我们可以通过这种方式来做

Router(config)#access-list 100 permit tcp any any ack
或者
Router(config)#access-list 100 permit tcp any any established
然后应用到接口上
router(config-if)#ip access-group 100 in

这个方法是可以,但是如果不是TCP的应用,是UDP的程序该如何办?很显然,通过这个方式是解决不了的。我们用自反访问列表就可以很好的解决这个问题

2.自反访问控制列表
自反访问列表的英文名字是Reflexive Access Lists,Reflexive这个词我们翻译成自反,如何自反呢?就是他会根据一个方向的访问控制列表,自动创建出一个反方向的控制列表,那么,创建一个什么样的控制列表呢?就是和原来的控制列表—IP的源地址和目的地址颠倒,并且源端口号和目的端口号完全相反的一个列表。并且还有一定的时间限制,过了时间,就会超时,这个新创建的列表就会消失,这样大大增加了安全性。
具体案例:
拓扑图如下



图片附件: 3router1.jpg


需求如下:
R1模仿内网,R3模仿外网,现在要求R1可以远程登录到R3,但是不允许R3发起任何到R1的连接。

三台路由器初始配置如下:
R1#sh run
interface Serial0
ip address 10.1.1.1 255.255.255.0

router ospf 1
log-adjacency-changes
network 0.0.0.0 255.255.255.255 area 0

line vty 0 4
password cisco
login

R2#sh run
interface Serial0
ip address 10.1.1.2 255.255.255.0
clockrate 64000

interface Serial1
ip address 192.168.1.1 255.255.255.0
clockrate 64000

router ospf 1
log-adjacency-changes
network 0.0.0.0 255.255.255.255 area 0

R3#sh run

interface Loopback0
ip address 3.3.3.3 255.255.255.0

interface Ethernet0
no ip address
shutdown

interface Serial0
no ip address

interface Serial1
ip address 192.168.1.2 255.255.255.0

router ospf 1
log-adjacency-changes
network 0.0.0.0 255.255.255.255 area 0

line vty 0 4
password cisco
login

R1上的路由表

R1#sh ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
        D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
        N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
        E1 - OSPF external type 1, E2 - OSPF external type 2
        i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
        * - candidate default, U - per-user static route, o - ODR
        P - periodic downloaded static route

Gateway of last resort is not set

      3.0.0.0/32 is subnetted, 1 subnets
O        3.3.3.3 [110/129] via 10.1.1.2, 00:03:42, Serial0
      10.0.0.0/24 is subnetted, 1 subnets
C        10.1.1.0 is directly connected, Serial0
O     192.168.1.0/24 [110/128] via 10.1.1.2, 00:03:42, Serial0

测试一下
R1#ping 3.3.3.3

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 3.3.3.3, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 60/62/68 ms


R1#
R1#telnet 3.3.3.3
Trying 3.3.3.3 ... Open
User Access Verification
Password:
R3>

在R3上测试一下:
R3#ping 10.1.1.1

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.1.1.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 60/60/60 ms

R3#telnet 10.1.1.1
Trying 10.1.1.1 ... Open
User Access Verification
Password:
R1>
路由是通畅的,R1可以正常的远程登录到R3,因为没有作任何控制,所以R3照样可以访问R1

解决方案1:
使用扩展访问控制列表,控制TCP标志位
在R2上做如下配置
interface Serial1
ip address 192.168.1.1 255.255.255.0
ip access-group 100 in
clockrate 64000

access-list 100 permit tcp any any established   //用ACK也行
access-list 100 permit ospf any any           //保持ospf路由协议正常工作

R1上做测试:
R1#ping 3.3.3.3  

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 3.3.3.3, timeout is 2 seconds:
.....
Success rate is 0 percent (0/5)
R1#telnet 3.3.3.3
Trying 3.3.3.3 ... Open


User Access Verification

Password:
R3>
这个时候,我们发现不能ping 通了,原因是什么呢?
access-list 100 permit tcp any any established
access-list 100 permit ospf any any   
我们在访问控制列表中没有允许ICMP协议,所以返回的数据包在R2上面被拒绝掉了,但是telnet成功了,因为我们在进来的访问控制列表里允许了TCP。

在R3上做测试:
R3#ping 10.1.1.1

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.1.1.1, timeout is 2 seconds:
U.U.U
Success rate is 0 percent (0/5)
R3#telnet 10.1.1.1
Trying 10.1.1.1 ...
% Destination unreachable; gateway or host down
我们看R3是不能访问R1的任何东西了,为什么呢?ping不通的原因是我们在R2上阻止了ICMP,而telnet为什么不行呢,虽然我们允许了TCP包,但是因为是R3向R1发起初始化连接,TCP里面的标志位SYN=1,ACK=0,而我们的访问控制列表的关键词established定义了只有ACK=1的包才能被允许,所以,这个初始连接包就被拒绝了,那么我们这种做法就满足了试验要求。

解决方案2:
使用自反访问控制列表
在R2 做如下配置
interface Serial0
ip address 10.1.1.2 255.255.255.0
ip access-group tcp-out in
clockrate 64000
!         
interface Serial1
ip address 192.168.1.1 255.255.255.0
ip access-group tcp-in in
clockrate 64000

ip access-list extended tcp-in
permit ospf any any
evaluate telnet
ip access-list extended tcp-out
permit ospf any any
permit tcp any any reflect telnet

需要注意以下几点
1)         自反访问控制列表只能和基于名字的扩展访问控制列表一起工作
2)         他自己不能工作,必须寄生于扩展访问控制列表,并且有两个访问列表才行,也就是

一个列表创建自反列表
例如
ip access-list extended tcp-out
permit tcp any any reflect telnet

注意关键词 refect,当由符合tcp any any 的数据流通过的时候,就会产生一个名字叫做telnet的自反列表,但是它是产生而已,还不能被使用,因为没与应用到接口上

令外一个列表进行调用
ip access-list extended tcp-in
   evaluate telnet
在进来的访问列表里面,用关键字evaluate 来调用已经产生的telnet自反列表

在R1上做测试

R1>en
R1#telnet 3.3.3.3
Trying 3.3.3.3 ... Open
User Access Verification
Password:
R3>

我们看看R2上:
R2#show access-lists
Extended IP access list tcp-in
     10 permit ospf any any (72 matches)
     20 evaluate telnet
Extended IP access list tcp-out
     20 permit ospf any any (72 matches)
     30 permit tcp any any reflect telnet
Reflexive IP access list telnet
      permit tcp host 3.3.3.3 eq telnet host 10.1.1.1 eq 11003 (26 matches) (time left 258)

已经产生了一个自反访问控制列表,他的源端口是23,目的端口是11003,正好是我们刚才从R1上telnet的返回的数据流。

从R3上做下测试:
R3#telnet 10.1.1.1
Trying 10.1.1.1 ...
% Destination unreachable; gateway or host down
我们看不成功,这个连接的源端口号是一个大于10000得一个随机端口号,目的端口号是23 ,但是访问控制列表并不允许这样的数据流,所以访问失败,这个满足我们的试验需求。

我们还可以对这个自反列表存在时间进行控制,我们看看这个自反列表
permit tcp host 3.3.3.3 eq telnet host 10.1.1.1 eq 11003 (26 matches) (time left 258),time left 258是指如果没有数据流的情况下,再过258秒,这个自反列表既要从缓存中被清掉。这无疑增加了安全性,降低了被IP欺骗的可能。

这个时间我们可以用如下的方式修改:
ip access-list extended tcp-out
permit tcp any any reflect telnet timeout 600   //单位是秒

另外在全局模式下,可以使用另外一个命令修改超时时间:

r2(config)#ip reflexive-list timeout 600

这样就把时间改成了10分钟,而默认是5分钟

现在有一个新的需求:

我们要求在R2可以telnet到R3,但是R3不能访问R2
我们在R2 上做如下配置
interface Serial1
ip address 192.168.1.1 255.255.255.0
ip access-group tcp-in in
ip access-group tcp-out out
clockrate 64000

ip access-list extended tcp-in
permit ospf any any
evaluate telnet
ip access-list extended tcp-out
permit ospf any any
permit tcp any any reflect telnet

我们首先在R3上测试一下:
R3#telnet 192.168.1.1
Trying 192.168.1.1 ...
% Destination unreachable; gateway or host down
结果是满意的
我们再在R2上测试一下:
R2#telnet 3.3.3.3
Trying 3.3.3.3 ...
% Connection timed out; remote host not responding
结果却出乎我们的预料。原因在哪里?
我们看一下R2上的访问列表
R2#show access-lists
Extended IP access list tcp-in
     10 permit ospf any any (230 matches)
     20 evaluate telnet
Extended IP access list tcp-out
     20 permit ospf any any (202 matches)
     30 permit tcp any any reflect telnet
Reflexive IP access list telnet
自反列表竟然为空!这是为什么呢?原因在于访问列表一个特性,就是出去的访问列表不对这个路由器自己产生的数据包进行检查,也就是我们从R2上telnet 到R3的数据流是从R2产生的,所以没有经过这个下面这个访问控制列表的检查
ip access-list extended tcp-out
permit ospf any any
permit tcp any any reflect telnet

访问控制列表,那么自然就不会产生自反访问列表telnet了。

解决的办法有两个:

一个是通过本地路由策略(local policy route-map)

ip local policy route-map cisco

route-map cisco permit 10
match ip address tcp-out

在R2上再测试一下:
R2#telnet 3.3.3.3
Trying 3.3.3.3 ... Open

User Access Verification
Password:
R3>
R2上看下访问列表
//注意,不能在上面的配置中打exit,如果是这样,那么自反列表剩下的时间立刻被降为6秒,不好观察结果,我采用的是在R1上远程登录(telnet)到R2再观察
r2#show access-lists
Extended IP access list tcp-in
     10 permit ospf any any (8 matches)
     20 evaluate telnet
Extended IP access list tcp-out
     10 permit ospf any any
     20 permit tcp any any reflect telnet
Reflexive IP access list telnet
      permit tcp host 3.3.3.3 eq telnet host 192.168.1.1 eq 11002 (time left 297)
好的,我们看看现在就可以了!

当然,我们还有另外的一个方法:
R2上这样配置:
ip access-list extended tcp-in
permit ospf any any
evaluate telnet
permit tcp any eq telnet any ack---------------------------加上了这条指令
ip access-list extended tcp-out
permit ospf any any
permit tcp any any reflect telnet

在R2上测试:
r2#telnet 3.3.3.3
Trying 3.3.3.3 ... Open
User Access Verification
Password:
R3>

成功登陆,符合我们的期望:
在R3上进行测试:
R3#telnet 192.168.1.1
Trying 192.168.1.1 ...
% Destination unreachable; gateway or host down
结果也是我们所需要的

总结:
自反访问控制列表在第四层上分析数据流,是一个按需生成的控制列表,在没有数据流的时候,也就是不需要的时候,会自动消失,是一种较自动化的数据控制方式,在一定程度上防止了IP地址欺骗攻击,非常有效的保护了用户的网络免受黑客破坏,并且对UDP数据包最有效(对于UDP包,扩展访问控制列表毫无办法)。

声明
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系admin@php.cn
MySQL:初学者的基本技能MySQL:初学者的基本技能Apr 18, 2025 am 12:24 AM

MySQL适合初学者学习数据库技能。1.安装MySQL服务器和客户端工具。2.理解基本SQL查询,如SELECT。3.掌握数据操作:创建表、插入、更新、删除数据。4.学习高级技巧:子查询和窗口函数。5.调试和优化:检查语法、使用索引、避免SELECT*,并使用LIMIT。

MySQL:结构化数据和关系数据库MySQL:结构化数据和关系数据库Apr 18, 2025 am 12:22 AM

MySQL通过表结构和SQL查询高效管理结构化数据,并通过外键实现表间关系。1.创建表时定义数据格式和类型。2.使用外键建立表间关系。3.通过索引和查询优化提高性能。4.定期备份和监控数据库确保数据安全和性能优化。

MySQL:解释的关键功能和功能MySQL:解释的关键功能和功能Apr 18, 2025 am 12:17 AM

MySQL是一个开源的关系型数据库管理系统,广泛应用于Web开发。它的关键特性包括:1.支持多种存储引擎,如InnoDB和MyISAM,适用于不同场景;2.提供主从复制功能,利于负载均衡和数据备份;3.通过查询优化和索引使用提高查询效率。

SQL的目的:与MySQL数据库进行交互SQL的目的:与MySQL数据库进行交互Apr 18, 2025 am 12:12 AM

SQL用于与MySQL数据库交互,实现数据的增、删、改、查及数据库设计。1)SQL通过SELECT、INSERT、UPDATE、DELETE语句进行数据操作;2)使用CREATE、ALTER、DROP语句进行数据库设计和管理;3)复杂查询和数据分析通过SQL实现,提升业务决策效率。

初学者的MySQL:开始数据库管理初学者的MySQL:开始数据库管理Apr 18, 2025 am 12:10 AM

MySQL的基本操作包括创建数据库、表格,及使用SQL进行数据的CRUD操作。1.创建数据库:CREATEDATABASEmy_first_db;2.创建表格:CREATETABLEbooks(idINTAUTO_INCREMENTPRIMARYKEY,titleVARCHAR(100)NOTNULL,authorVARCHAR(100)NOTNULL,published_yearINT);3.插入数据:INSERTINTObooks(title,author,published_year)VA

MySQL的角色:Web应用程序中的数据库MySQL的角色:Web应用程序中的数据库Apr 17, 2025 am 12:23 AM

MySQL在Web应用中的主要作用是存储和管理数据。1.MySQL高效处理用户信息、产品目录和交易记录等数据。2.通过SQL查询,开发者能从数据库提取信息生成动态内容。3.MySQL基于客户端-服务器模型工作,确保查询速度可接受。

mysql:构建您的第一个数据库mysql:构建您的第一个数据库Apr 17, 2025 am 12:22 AM

构建MySQL数据库的步骤包括:1.创建数据库和表,2.插入数据,3.进行查询。首先,使用CREATEDATABASE和CREATETABLE语句创建数据库和表,然后用INSERTINTO语句插入数据,最后用SELECT语句查询数据。

MySQL:一种对数据存储的初学者友好方法MySQL:一种对数据存储的初学者友好方法Apr 17, 2025 am 12:21 AM

MySQL适合初学者,因为它易用且功能强大。1.MySQL是关系型数据库,使用SQL进行CRUD操作。2.安装简单,需配置root用户密码。3.使用INSERT、UPDATE、DELETE、SELECT进行数据操作。4.复杂查询可使用ORDERBY、WHERE和JOIN。5.调试需检查语法,使用EXPLAIN分析查询。6.优化建议包括使用索引、选择合适数据类型和良好编程习惯。

See all articles

热AI工具

Undresser.AI Undress

Undresser.AI Undress

人工智能驱动的应用程序,用于创建逼真的裸体照片

AI Clothes Remover

AI Clothes Remover

用于从照片中去除衣服的在线人工智能工具。

Undress AI Tool

Undress AI Tool

免费脱衣服图片

Clothoff.io

Clothoff.io

AI脱衣机

AI Hentai Generator

AI Hentai Generator

免费生成ai无尽的。

热门文章

R.E.P.O.能量晶体解释及其做什么(黄色晶体)
1 个月前By尊渡假赌尊渡假赌尊渡假赌
R.E.P.O.最佳图形设置
1 个月前By尊渡假赌尊渡假赌尊渡假赌
威尔R.E.P.O.有交叉游戏吗?
1 个月前By尊渡假赌尊渡假赌尊渡假赌

热工具

VSCode Windows 64位 下载

VSCode Windows 64位 下载

微软推出的免费、功能强大的一款IDE编辑器

螳螂BT

螳螂BT

Mantis是一个易于部署的基于Web的缺陷跟踪工具,用于帮助产品缺陷跟踪。它需要PHP、MySQL和一个Web服务器。请查看我们的演示和托管服务。

ZendStudio 13.5.1 Mac

ZendStudio 13.5.1 Mac

功能强大的PHP集成开发环境

Dreamweaver Mac版

Dreamweaver Mac版

视觉化网页开发工具

MinGW - 适用于 Windows 的极简 GNU

MinGW - 适用于 Windows 的极简 GNU

这个项目正在迁移到osdn.net/projects/mingw的过程中,你可以继续在那里关注我们。MinGW:GNU编译器集合(GCC)的本地Windows移植版本,可自由分发的导入库和用于构建本地Windows应用程序的头文件;包括对MSVC运行时的扩展,以支持C99功能。MinGW的所有软件都可以在64位Windows平台上运行。