Vidéo: Manage User Privileges on Your Synology NAS | Synology 2024
Les administrateurs réseau modifient une liste de contrôle d'accès (ACL) standard en ajoutant des lignes. Chaque nouvelle entrée que vous ajoutez à la liste de contrôle d'accès (ACL) apparaît au bas de la liste.
Contrairement à la table de routage, qui recherche la correspondance la plus proche dans la liste lors du traitement d'une entrée ACL qui sera utilisée comme première entrée correspondante. Si, par exemple, vous voulez avoir un hôte sur le 192. 168. 8. 0/24 bloqué sur votre liste de contrôle d'accès, alors il y aurait une différence. Vous devez ajouter deny pour 192. 168. 8. 200 à votre ACL:
Switch1> enable Mot de passe: Switch1 # configure terminal Entrez les commandes de configuration, une par ligne. Terminez avec CNTL / Z. Switch1 (config) # access-list 50 refusent 192. 168. 8. 200 0. 0. 0. 0 Switch1 (config) #end Commutateur1 # show access-list 50 Liste d'accès IP standard 50 refus 192. 168. 8. 200 permit 192. 168. 8. 0, caractères génériques 0. 0. 0. 255 permit 192. 168. 9. 0, caractères génériques 0. 0. 0. 255
L'avis de refus a été ajouté au début de la liste, alors que le permis supplémentaire a été ajouté au bas de la liste. En outre, cette entrée n'inclut pas les bits génériques. Le comportement de commande est inhérent à la conception, toute entrée pour un hôte unique étant plus importante et donc filtrée en haut de la liste.
La réduction de l'ACE pour l'hôte unique est également attendue. Vous pouvez ajouter l'hôte unique de cette façon, au lieu d'écrire tous les zéros dans le masque générique.
Switch1 (config) # access-list 50 refuse l'hôte 192. 168. 8. 200
Vous pouvez créer une nouvelle ACL qui refusera les deux mêmes blocs d'adresses de classe C, mais autorisera les quatre premières adresses dans le 192 168. 8. Echelle de 0/24 (192. 168. 8. 0-192, 168. 8. 3). Voici le résultat si vous construisez l'ACL dans cet ordre.
Switch1 # configure terminal Entrez les commandes de configuration, une par ligne. Terminez avec CNTL / Z. Switch1 (config) # access-list 60 refusent 192. 168. 8. 0 0. 0. 0. 255 Switch1 (config) # liste d'accès 60 refuse 192. 168. 9. 0 0. 0. 0. 255 Switch1 (config) # access-list 60 permit 192. 168. 8. 0 0. 0. 0. 3 Commutateur1 (config) #end Commutateur1 # show access-list 60 Liste d'accès IP standard 60 refuser 192. 168. 8. 0, joker bits 0. 0. 0. 255 refuser 192. 168. 9. 0, caractères génériques 0. 0. 0. 255 permis 192. 168. 8. 0, caractères génériques 0. 0. 0. 3
Parce que les entrées sont ajoutés à la liste de contrôle d'accès dans l'ordre dans lequel vous les avez saisis, l'autorisation se retrouve au bas de la liste. Si vous testez cette ACL, une adresse comme 192. 168. 8. 2 sera récupérée par le premier ACE et ne recevra pas l'autorisation du troisième ACE. Comment réparez-vous ceci? Eh bien, vous avez quelques choix:
-
Vous pouvez supprimer l'ACL de l'endroit où il est utilisé, supprimer l'ACL, en créer un nouveau dans le bon ordre et l'ajouter à l'endroit où il est utilisé.Ce processus long laisse le système ouvert à partir du moment où vous supprimez l'ACL de l'endroit où il est utilisé, jusqu'à ce qu'il soit ajouté. Cela a été la méthode standard de gestion des ACL.
Lorsque vous travaillez de cette manière avec les ACL, vous copiez toutes les étapes requises dans le bloc-notes. EXE. Cela inclut les étapes pour supprimer l'ancienne liste de contrôle d'accès et ajouter la nouvelle liste de contrôle d'accès. Après l'ensemble du processus est mis en scène dans le bloc-notes. exe, utilisez la commande copy pour copier et coller dans votre application de gestion CLI, comme putty. EXE.
-
Si votre appareil le prend en charge, vous pouvez modifier la liste de contrôle d'accès en utilisant la commande IP dans le code suivant. Cela vous permet de placer des numéros de ligne dans votre liste de contrôle d'accès, une option que vous n'avez pas lors de la modification de la liste de contrôle d'accès à partir du mode Configuration globale. Ceci utilise le mode de configuration ACL. Lorsque vous entrez vos numéros de ligne, vous voulez laisser un espace entre les entrées dans la liste de contrôle d'accès.
Router1 (config) #ip liste d'accès standard 60 Router1 (config-ext-nacl) # 10 refuser 192. 168. 8. 0 0. 0. 0. 255 Router1 (config-ext-nacl) # 20 refuser 192. 168. 9. 0 0. 0. 0. 255 Routeur1 (config-ext-nacl) # 30 permis 192. 168. 8. 0 0. 0. 0. 3
Avec cette pré-planification faite, vous peut ensuite ajouter une nouvelle entrée ACL en haut de la liste de contrôle d'accès en choisissant un nombre inférieur à 10, semblable au suivant:
Router1> enable Mot de passe: Router1 # configure terminal Router1 (config) # ip standard d'accès-liste 60 Router1 (config-ext-nacl) # 5 permis 192. 168. 8. 0 0. 0. 0. 3 Router1 (config-ext-nacl) # fin Router1 # show access-list 60 Liste d'accès IP standard 60 5 permit 192. 168. 9. 0, bits génériques 0. 0. 0. 3 10 deny 192. 168. 9. 0, bits génériques 0. 0. 0. 255 20 refus 192. 168. 9. 0, caractères génériques 0. 0. 0. 255 30 permis 192. 168. 8. 0, caractères génériques 0. 0. 0. 3 Ceci vous permet de modifier la liste ACL à la volée (c'est-à-dire, sans le retirer des interfaces où il est utilisé) sans enlever l'ACL et recréer Cela vous économisera beaucoup de temps et d'efforts, à condition qu'il y ait une lacune dans la numérotation où vous pouvez ajouter votre nouvelle entrée.
Selon la version d'IOS et l'appareil, vous pouvez avoir d'autres options. Si vous observez l'appliance de sécurité adaptable (ASA), vous n'avez pas besoin de planifier à l'avance. Passez en revue le code suivant, où l'ASA numérote automatiquement les lignes pour vous:
ASAFirewall1> activer Mot de passe: ASAFirewall1 # configurer le terminal ASAFirewall1 (config) # access-list 60 refuser 192. 168. 8. 0 255. 255. 255. 0 ASAFirewall1 (config) # liste d'accès 60 refuser 192. 168. 9. 0 255. 255. 255. 0 ASAFirewall1 (config) # exit ASAFirewall1 # afficher la liste d'accès 60 liste d'accès 60; 2 éléments liste d'accès 60 ligne 1 standard refuser 192. 168. 8. 0 255. 255. 255. 0 (hitcnt = 0) 0x318d5521 liste d'accès 60 ligne 2 norme refuser 192. 168. 9. 0 255. 255. 255 0 (hitcnt = 0) 0xBA5e90e1 ASAFirewall1 # configurer le terminal ASAFirewall1 (config) # liste d'accès 60 ligne 1 permis 192. 168. 9. 0 255. 255. 255. 248 ASAFirewall1 (config) # exit ASAFirewall1 # show access-list 60 liste d'accès 60; 3 éléments liste d'accès 60 ligne 1 permis standard 192. 168. 9. 0 255.255. 255. 248 (hitcnt = 0) 0x451bbe48 liste d'accès 60 ligne 2 standard refuser 192. 168. 8. 0 255. 255. 255. 0 (hitcnt = 0) 0x318d5521 liste d'accès 60 ligne 3 norme refuser 192. 168 9. 0 255. 255. 255. 0 (hitcnt = 0) 0xba5e90e1
En utilisant l'ASA, vous pouvez toujours ajouter des lignes à la volée ou numéroter manuellement les entrées ACL. Si vous souhaitez réutiliser la même ligne, l'ASA renumérotera votre liste entière si nécessaire. C'est vraiment le meilleur des deux mondes.
