werking

Access-lists beperken het verkeer tussen interfaces. ACL's worden van boven tot onder doorlopen en als een entry matched dan wordt het verkeer hieraan getoetst en wordt niet verder gekeken. Het einde zal meestal een deny van alles zijn. Per regel kan gekozen worden of hits gelogd worden. Met name de denies zijn handig om te loggen om te zien of de list niet te strak is. Alhoewel dat bij een firewall wel veel logging op zal leveren. Zelf heb ik logging bijvoorbeeld aan staan op denies vanaf de dmz omdat zo snel onterechte denies aan het licht komen wanneer er nieuwe machines of services geinstalleerd zijn.
het beste is wat voorbeelden te geven.


access-list 100 permit tcp 192.168.1.0 255.255.255.0 any eq 80  
access-list 100 permit tcp 192.168.1.0 255.255.255.0 any eq 110
access-list 100 permit tcp 192.168.1.0 255.255.255.0 any eq 25
access-list 100 permit tcp 192.168.1.0 255.255.255.0 any eq 443
access-list 100 permit udp 192.168.1.0 255.255.255.0 any eq 53
access-list 100 permit udp 192.168.1.0 255.255.255.0 any eq 123
access-list 100 permit tcp 192.168.1.0 255.255.255.0 any eq 20
access-list 100 permit tcp 192.168.1.0 255.255.255.0 any eq 21
access-list 100 permit icmp 192.168.1.0 255.255.255.0 any eq echo-reply
access-list 100 deny ip any any
  

In het voorbeeld hierboven zien we een access-list van binnen naar buiten waarmee we aangeven dat interne stations alleen bepaald verkeer naar internet mogen uitvoeren zoals web verkeer, mail, ftp, dns, ntp en ping replies.

De acl hieronder is een lijst van buiten naar binnen en blokkeert alle verkeer behalve citrix en rdp verkeer. Omdat dit verkeer relatief veilig is kan dit doorgelaten worden.


access-list 101 permit tcp any 192.168.1.0 255.255.255.0 eq 1494
access-list 101 permit udp any 192.168.1.0 255.255.255.0 eq 1604
access-list 101 permit tcp any 192.168.1.0 255.255.255.0 eq 2598
access-list 101 permit tcp any 192.168.1.0 255.255.255.0 eq 3389
access-list 101 deny ip any any
  

We kunnen in een access-list ook restricties aanbrengen in de tijden dat verkeer doorgelaten of geblokkeerd wordt. Dit gebeurt door eerst een time-range te definieren en dan in een acl regel aan te geven dat hij voor deze time-range geldt.
We loggen hier de denies om te zien wat men verder probeert. Verder mag alleen web verkeer er door binnen werktijden.


access-list 100 permit tcp 192.168.3.0 0.0.0.255 192.168.2.0 0.0.0.255 eq 80 time-range tijden
access-list 100 deny ip any any log
time-range tijden
 periodic weekdays 8:00 to 17:00
!