EXTENDED ACCEST LIST (TCP)
Jika standar ACL kita menggunakan router yang paling dekat dengan destination (server), Maka di extended ACL kita akan menggunakan router yang paling dekat dengan client (PC), Berikut adalah beberapa karakteristik extended ACL :
- ACL Extended bisa melakukan filtering berdasarkan source, destination, port dan protocol.
- ACL Standard menggunakan number 100 – 199.
- Konfigurasi harus sedekat mungkin dengan source.
- Direction in dan out ditentukan berdasarkan arah paketnya dari source menuju destination.
- ACL Extended bisa membatasi berdasarkan kebutuhan yang spesifik misalnya , telnet, ftp, dst-nya
Kita akan memblokir port 80 (http) dan port 443 (https) tetapi tetap memperbolehkan ping antara PC dan server.
Jika masih ada settingan standart ACL dan mau digani ke extended ACL tidak perlu menghpus seluruh konfigurasi, Cukup menghapus konfigurasi acces list dengan cara :
Router(config)#no access-list 1 (asn number kalian)
Router(config-if)#no ip access-group 100 out
Jika belum maka ikuti Step ini :
STEP-1 : MEMBUAT IP ADDRESS DI SEMUA PERANGKAT & MENGAKTIFKAN INTERFACE (semua)
PC0
IPv4 Address: 192.168.10.2
Subnet Mask: 255.255.255.0
Default gateway : 192.168.10.1
PC1
IPv4 Address: 192.168.10.3
Subnet Mask: 255.255.255.0
Default gateway : 192.168.10.1
R-0 (kiri)
Router(config)#int fa 0/0
Router(config-if)#ip address 192.168.10.1 255.255.255.0
Router(config-if)#no shutdown
Router(config-if)#ex
Router(config)#int fa 0/1
Router(config-if)#ip address 10.10.10.1 255.255.255.0
Router(config-if)#no shutdown
Router(config-if)#ex
R-1 (kanan)
Router(config)#int fa 0/1
Router(config-if)#ip address 10.10.10.2 255.255.255.0
Router(config-if)#no shutdown
Router(config-if)#ex
Router(config)#int fa 0/0
Router(config-if)#ip address 20.20.20.1 255.255.255.0
Router(config-if)#no shutdown
Router(config-if)#ex
STEP-2 : MELAKUKAN ROUTING EIGRP (router)
R-0 (kiri)
Router(config)#route eigrp 10
Router(config-router)#network 10.10.10.0
Router(config-router)#network 192.168.10.0
Router(config-router)#no auto-summary
Router(config-router)#ex
R-1 (kanan)
Router(config)#route eigrp 10
Router(config-router)#network 10.10.10.0
Router(config-router)#network 20.20.20.0
Router(config-router)#no auto-summary
Router(config-router)#ex
STEP-3 : MEMBUAT ACCEST LIST (router)
R-0 (kiri)
Router(config)#access-list 100 deny tcp 192.168.10.0 0.0.0.255 host 20.20.20.2 ra 80 443
Router(config)#access-list 100 permit any any
Router(config)#int fa 0/0
Router(config-if)#ip access-group 1 out
Router(config-if)#ex
RUMUS : acces-list + asn number (100) + action (deny / permit) + protocol (tcp) + ip address (192.168.10.0) + wildcart / subnetmask (0.0.0.255) + host + ip destination (20.20.20.2) + ra / eq + port service (80 dan 443)
NOTE : ra digunakan untuk lebih dari 1 port (80 dan 443), eq jika hanya 1 (80)
CHECK :show
PC0 192.168.10.2
C:\>ping 20.20.20.2 ( menggunakan PC0 (192.168.10.2))
Pinging 20.20.20.2 with 32 bytes of data:
Reply from 20.20.20.2: bytes=32 time<1ms TTL=254
Reply from 20.20.20.2: bytes=32 time<1ms TTL=254
Reply from 20.20.20.2: bytes=32 time<1ms TTL=254
Reply from 20.20.20.2: bytes=32 time<1ms TTL=254
PC1 192.168.10.3
C:\>ping 20.20.20.2 ( menggunakan PC0 (192.168.10.2))
Pinging 20.20.20.2 with 32 bytes of data:
Reply from 20.20.20.2: bytes=32 time<1ms TTL=254
Reply from 20.20.20.2: bytes=32 time<1ms TTL=254
Reply from 20.20.20.2: bytes=32 time<1ms TTL=254
Reply from 20.20.20.2: bytes=32 time<1ms TTL=254
NOTE : kita masih bisa melakukan ping dikarenakan tujuan kita adalah memblokir port service WWW jadi kita melakukan test di web browser (cisco packet tracer)
Buka PC > Desktop > web browser > ketik : "https://20.20.20.2" (80) atau "http://20.20.20.2" (443)
CARA MENGHAPUS VLAN
Router(config)#no access-list 1 (asn number kalian)
masuk ke interface
Router(config-if)#no ip access-group 100 out
No comments:
Post a Comment