acl

什么是ACL？ 访问控制列表简称为ACL，访问控制列表使用包过滤技术，在路由器上读取第三层及第四层包头中的信息如源地址，目的地址，源端口，目的端口等，根据预先定义好的规则对包进行过滤，从而达到访问控制的目的。该技术初期仅在路由器上支持，近些年来已经扩展到三层交换机，部分最新的二层交换机也开始提供ACL的支持了。 访问控制列表的作用： *过滤：通过过滤经过路由器的数据包来管理IP流量 *分类：标识流量以进行特殊处理 访问控制列表的原理 对路由器接口来说有两个方向 出：已经经路由器的处理，正离开路由器接口的数据包 入：已经到达路由器接口的数据包，将被路由器处理。 匹配顺序为：“自上而下，依次匹配”。默认为拒绝 访问控制列表的类型 标准访问控制列表：一般应用在out出站接口。建议配置在离目标端最近的路由上 扩展访问控制列表：配置在离源端最近的路由上，一般应用在入站in方向 命名访问控制列表：允许在标准和扩展访问列表中使用名称代替表号 访问控制列表使用原则 1、最小特权原则 只给受控对象完成任务所必须的最小的权限。也就是说被控制的总规则是各个规则的交集，只满足部分条件的是不容许通过规则的。 2、最靠近受控对象原则 所有的网络层访问权限控制。也就是说在检查规则时是采用自上而下在ACL中一条条检测的，只要发现符合条件了就立刻转发，而不继续检测下面的ACL语句。 3、默认丢弃原则

ACL（访问控制列表）实例二 实例题目 实验拓扑图 [IP地址规划表] 案例实施 基本配置 1.1 路由器Router1的配置 1.2 路由器Router2的配置 1.3 路由器Router3的配置 配置RIP Router 1 配置 RIP Router 2 配置 RIP Router 3 配置 RIP 使用标准访问控制列表 上一篇文章 ACL（访问控制列表）（一) 讲解了 标准访问控制列表 的配置 这次将通过一个实例来完成 扩展访问控制列表 实例题目 某单位网络的拓扑结构示意图如图所示。网络采用RIP协议。 要求使用访问控制列表禁止网络192.168.20.0/24上的主机访问网络192.168.10.0/24。 使用访问控制列表禁止网络192.168.20.0/24上的主机访问10.10.10.0/24上的Web服务，但允许访 问其他服务器。 实验拓扑图 [IP地址规划表] 案例实施 基本配置 1.1 路由器Router1的配置 Router1 > en Router1 #conf t Enter configuration commands, one per line. End with CNTL/Z. Router1 ( config ) #int f0/0 Router1 ( config-if ) #ip add 10.10.10.254 255.255.255.0

ACL:看控制访问列表（Access Control List） 控制指定的用户能否通过指定的接口访问本机的服务(http、https、ftp、ssh、telnet)，举个例子：没开启ACL功能前，任意用户都能在外网通过wan连接的ip或者内网通过lan口的ip访问设备的web页面，开启ACL功能，添加规则，填写范围A-B，接口选择为wan，勾选http和https,这样就只有外网IP地址在A-B范围内的用户能通过wan连接访问web页面，除此之外的其他用户都不能访问web页面。再添加规则，填写范围C-D，接口选择为lan，勾选http和https，这样内网IP地址在C-D范围内的用户也能访问web页面。 实现：主要通过iptables 进行;待续。。。。 来源： CSDN 作者： wangzhibo_csdn 链接： https://blog.csdn.net/wangzhen_csdn/article/details/83750725

在企业环境需求中，通常会有关于访问控制的要求。通过对于访问控制需求的配置，设置一些数据包可以被接收，一些数据包被拒绝。ACL访问控制列表使用包过滤技术，是在路由器上读取OSI七层模型的3，4层进行检测，包括对IP地址，端口等进行策略的匹配，从而达到访问控制的目的。 范例需求概述： 拓扑如下： 具体需求： 1． VLAN 10中的所有主机都可以在工作时间周一到周五8：30-17：30访问服务器的WEB服务，但拒绝其他服务。 2． 只允许PC1可以PING服务器，禁止其他所有主机PING服务器 3． 为SW1添加用户和密码，要求只有主机PC1可以登录。 具体实施步骤： 1. 连接网络，保证网络连通。 a) 根据拓扑连接网络 b) c) IP地址规划： i. PC1： 192.168.1.1 网关： 192.168.1.2 ii. PC10： 192.168.2.1 网关： 192.168.2.2 iii. 服务器：192.168.3.1 网关： 192.168.3.2 d) 配置IP地址 e) PC1 f) PC10 g) 路由器（模拟服务器） 上配置IP地址 h) 在三台交换机上划分VLAN信息 i) j) 根据拓扑将相应端口划分VLAN中。 k) l) m) 相应VLAN 配置为PC和服务器的网关地址为IP地址 n) o) 配置交换机相连接口为truch口 p) q) r) s)

ACL通配符计算（转载网络伤寒） 学习ACL，搞懂ACL就不能不搞定wildcard mask，通配符掩码。说简单点，通配符掩码就是0为绝对匹配，必须严格匹配才行，而1为任意，从某种意义上讲，如果一个8位上有一个1字符，那也只有两种方式，0或者1，但是如果进行组合，那么方式就多了。 举例说明吧。 一般我们在应用上都是进行地址块的匹配，怎么讲呢？就是说： 1）对某个A B C类网进行匹配或者教通配符屏蔽 2）对某个子网应用ACL。 3）对特定主机应用ACL 4）对任意主机或者网络应用ACL 5）特殊情况的匹配 差不多就是以上五种情况，下面一一说明。 1）对某个有类网络进行ACL的通配符屏蔽。 这种情况很好解释。 例如：A类：10.0.0.0 0.255.255.255 先写成二进制形式： 00001010.00000000.00000000.00000000 00000000.11111111.111111111.11111111 可以看出，第一个字节需要严格匹配，也就是说必须为10.，后面的任意匹配。 得到的网络为10.*.*.* 如果我把这个改一下呢？10.0.0.0 0.0.3.255 同样写成二进制形式：00001010.00000000.00000000.00000000 00000000.00000000.00000011.111111111 前两个字节严格匹配为10.0

实验拓扑图： R1--f0/0-----f0/0--R2--f1/0(.1)-----f0/0--R3 IP地址规划： R1：f0/0-------202.100.10.1/24 R2：f0/0-------202.100.10.2/24; f1/0-------202.100.20.1/24 R3：f0/0-------202.100.20.2/24 一、基本网络配置 1、R1路由器的基本网络配置 enable configure terminal interface f0/0 ip address 202.100.10.1 255.255.255.0 no shutdown exit ip route 0.0.0.0 0.0.0.0 202.100.10.2 exit write 2、R2路由器的基本网络配置 enable configure terminal interface f0/0 ip address 202.100.10.2 255.255.255.0 no shutdown interface f1/0 ip address 202.100.20.1 255.255.255.0 no shutdown exit exit write 3、R3路由器的基本网络配置 enable configure terminal interface f0/0 ip address

ACL掩码及继承 1.具有 ACL 的文件拥有一个“ mask” ( 掩码 ), 这个掩码既 能够限制拥有该文件的组的最大权限 , 有能 够限制 ACL 中的补充用户和组所拥有的最大权限。 setfacl -m m:rwx filename 2.目录可以有“默认 ACL” 条目 , 系统自动针对在该目录中 创建的新文件设置这些条目，这类似 setgid 权限的方法 ( 针对目录时 ), 使得在该目录中创建的新文件归拥有该目录 的组所有。 setfacl -m d:u: username :rw directory 权限列表的读取 1.使用getacl命令 getfacl filename/directoryname 2.列表信息 #file: file 文件名称 #owner: kiosk 文件所有人 #group: kiosk 文件所有组 user::rw- 用户权限 user:kiosk:rwx 特殊指派用户及权限 group::rw- 组权限 mask::rwx 可指派最大权限 other::r– 其他人权限 文件ACL的修改与设置 1.使用setacl命令 setfacl -m u:student:rw filename 授予student用户读写权限 setfacl -m g:student:rw filename 授予student组读写权限 setfacl -x u

关于华为ACL日常维护中的一点点经验和大家分享下 在已经做好的ACL控制策略中, 如192.168.1.0禁止访问192.168.2.0 3.0 4.0 5.0网段 acl number 3001 rule 5 deny ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255 rule 10 deny ip source 192.168.1.0 0.0.0.255 destination 192.168.3.0 0.0.0.255 rule 15 deny ip source 192.168.1.0 0.0.0.255 destination 192.168.4.0 0.0.0.255 rule 20 deny ip source 192.168.1.0 0.0.0.255 destination 192.168.5.0 0.0.0.255 rule 25 deny ip source 192.168.1.0 0.0.0.255 destination 192.168.6.0 0.0.0.128 但是在工作需求中要重新调整,使得192.168.1.0中的某个IP如192.168.1.10需要访问已被禁止的网段中的某个IP如192.168.6.215,那么要将1.10与6.215互通在调整过程中需要什么呢.

近来通过学习Cisco的标准ACL发现该ACL有两个方面的用途，一个是用在DV协议传递的路由条目进行控制，另外就是对于数据层面过滤流量，而这两种对于标注ACL的写法是不同的，具体的不同就是体现的反掩码的写法上 我们知道DV协议在传递路由条目的时候是携带路有前缀和掩码的（RIPv1除外），我们想要过滤某一个路由条目的时候，到底该怎样写呢？ 假设我们想过滤掉3.3.3.0/24这个路由条目，怎样抓取这个路由条目？大多数初学者一定会写成： access-list 10 permit 3.3.3.0 0.0.0.255 首先这种写法是肯定可以抓取路由条目，但是我们应该知道我们这个时候抓取的是路由前缀。我们说反掩码0代表必须匹配，而1表示任意，也就是说上面ACL的后8位任意变的前缀，这样抓取到前缀也肯定可以抓取到一些其他的路由前缀，例如3.3.3.128/25,和3.3.3.192/26等等这个样的前缀，这和我们的前缀列表一下语句是匹配的： ip prefix-list 10 permit 3.3.3.0/24 le 32，如果你理解这条语句，那么也就很好理解标准ACL反掩码在用来抓取控制层面路由条目的方法了，那么我们到底该怎样抓取这个3.3.3.0/24这个路由条目呢，很简单： access-list 10 permit 3.3.3.0 0.0.0.0 这样只会抓取在路由传递中前缀为3.3

setfacl命令可以用来细分linux下的文件权限。 chmod命令可以把文件权限分为u,g,o三个组，而setfacl可以对每一个文件或目录设置更精确的文件权限。 换句话说，setfacl可以更精确的控制权限的分配。 比如：让某一个用户对某一个文件具有某种权限。 这种独立于传统的u,g,o的rwx权限之外的具体权限设置叫ACL（Access Control List） ACL可以针对单一用户、单一文件或目录来进行r,w,x的权限控制，对于需要特殊权限的使用状况有一定帮助。 如，某一个文件，不让单一的某个用户访问。 setfacl 参数 -m：设置后续acl参数 -x：删除后续acl参数 -b：删除全部的acl参数 -k：删除默认的acl参数 -R：递归设置acl，包括子目录 -d：设置默认acl setfacl命令可以识别以下的规则格式：[d[efault]:] [u[ser]:]uid [:perms] 指定用户的权限，文件所有者的权限（如果uid没有指定）。[d[efault]:] g[roup]:gid [:perms] 指定群组的权限，文件所有群组的权限（如果gid未指定）[d[efault]:] m[ask][:] [:perms] 有效权限掩码[d[efault]:] o[ther] [:perms] 其他的权限 来自: http://man.linuxde.net