Sơ đồ:

Mô tả:

Để đảm bảo tất cả các truy cập từ bên ngoài (Internet) không được cho phép, cấu hình Reflexive Access-list (RACL) để tất cả truy cập (TCP, UDP, IP) ra Internet được trở về.

Lưu ý: RACL không hỗ trợ cho những ứng dụng mà port thay đổi như FTP.

Cấu hình:

Định nghĩa ACL cho luồng dữ liệu đi:

R3(config)#ip access-list extended OUTBOUND

Xác định giao thức sẽ được giám sát (Reflexive ACL sẽ được tạo cho dữ liệu về):

R3(config-ext-nacl)#permit tcp any any reflect POLICY

R3(config-ext-nacl)#permit udp any any reflect POLICY

R3(config-ext-nacl)#permit icmp any any reflect POLICY

Định nghĩa ACL cho luồng dữ liệu về:

R3(config)#ip access-list extended INBOUND

Kiểm tra luồng dữ liệu về với Reflexive ACL:

R3(config-ext-nacl)#evaluate POLICY

R3(config-ext-nacl)#deny ip any any

Gán ACL lên port:

Interface f0/1

Ip address dhcp

Ip access-group INBOUND in

Ip access-group OUTBOUND out

Ip nat outside

Interface f0/0

Ip address 192.168.1.1 255.255.255.0

Ip nat inside

Ip nat inside source list 1 interface fa0/1 overload

Access-list 1 permit 192.168.1.0 0.0.0.255

Kiểm tra:

R3#show ip route

Gateway of last resort is 192.168.40.2 to network 0.0.0.0

C 192.168.40.0/24 is directly connected, FastEthernet0/1

C 192.168.1.0/24 is directly connected, FastEthernet0/0

S* 0.0.0.0/0 [254/0] via 192.168.40.2

R3#

R3#show ip interface brief f0/1

Interface IP-Address OK? Method Status Protocol

FastEthernet0/1 192.168.40.138 YES DHCP up up

R3#

R3# show access-list

Lưu ý: Trong trường hợp không có NAT, access-list OUTBOUND cũng có thể đặt trên cổng f0/0 với hướng in (NAT sẽ xảy ra trước), tuy nhiên trong trường hợp có NAT, ACL OUTBOUND phải đặt trên cổng f0/1 (NAT xảy ra sau) nên đảm bảo dữ liệu đi về là giống nhau.

(dangocuong@gmail.com)