EXTENDED ACCEST LIST (ICMP & TCP)
Jika standar ACL kita menggunakan router yang paling dekat dengan destination (server), Maka di extended ACL kita akan menggunakan router yang paling dekat dengan client (PC), Berikut adalah beberapa karakteristik extended ACL :
- ACL Extended bisa melakukan filtering berdasarkan source, destination,
port dan protocol.
- ACL Standard menggunakan number 100 – 199.
- Konfigurasi harus sedekat mungkin dengan source.
- Direction in dan out ditentukan berdasarkan arah paketnya dari source
menuju destination.
- ACL Extended bisa membatasi berdasarkan kebutuhan yang
spesifik misalnya , telnet, ftp, dst-nya
Kita akan membuat 2 acces list :
-PC0 : memblokir ping (PC > SERVER)
-PC1 : memblokir http dan https
STEP-1 : MEMBUAT IP ADDRESS DI SEMUA PERANGKAT & MENGAKTIFKAN INTERFACE (semua)
PC0
IPv4 Address: 192.168.10.2
Subnet Mask: 255.255.255.0
Default gateway : 192.168.10.1
PC1
IPv4 Address: 192.168.10.3
Subnet Mask: 255.255.255.0
Default gateway : 192.168.10.1
R-0 (kiri)
Router(config)#int fa 0/0
Router(config-if)#ip address 192.168.10.1 255.255.255.0
Router(config-if)#no shutdown
Router(config-if)#ex
Router(config)#int fa 0/1
Router(config-if)#ip address 10.10.10.1 255.255.255.0
Router(config-if)#no shutdown
Router(config-if)#ex
R-1 (kanan)
Router(config)#int fa 0/1
Router(config-if)#ip address 10.10.10.2 255.255.255.0
Router(config-if)#no shutdown
Router(config-if)#ex
Router(config)#int fa 0/0
Router(config-if)#ip address 20.20.20.1 255.255.255.0
Router(config-if)#no shutdown
Router(config-if)#ex
STEP-2 : MELAKUKAN ROUTING EIGRP (router)
R-0 (kiri)
Router(config)#route eigrp 10
Router(config-router)#network 10.10.10.0
Router(config-router)#network 192.168.10.0
Router(config-router)#no auto-summary
Router(config-router)#ex
R-1 (kanan)
Router(config)#route eigrp 10
Router(config-router)#network 10.10.10.0
Router(config-router)#network 20.20.20.0
Router(config-router)#no auto-summary
Router(config-router)#ex
STEP-3 : MEMBUAT ACCEST LIST (router)
R-0 (kiri)
Router(config)#access-list 100 deny tcp 192.168.10.2 0.0.0.255 host 20.20.20.2 ra 80 443
Router(config)#access-list 100 deny icmp 192.168.10.3 0.0.0.255 host 20.20.20.2
Router(config)#access-list 100 permit any any
Router(config)#int fa 0/0
Router(config-if)#ip access-group 1 out
Router(config-if)#ex
NOTE : Konfigurasi pertama untuk PC0 untuk memblokir port service menggunakan tcp, kedua untuk PC1 hanya memblokir ping maka menggunakan icmp dan icmp tidak memerluka port service (80 dan 443)
CHECK :show
PING
PC0 192.168.10.2 (YANG DIBLOK)
C:\>ping 20.20.20.2 ( menggunakan PC0 (192.168.10.2))
Pinging 20.20.20.2 with 32 bytes of data:
Reply from 10.10.10.2: Destination host unreachable.
Reply from 10.10.10.2: Destination host unreachable.
Reply from 10.10.10.2: Destination host unreachable.
Reply from 10.10.10.2: Destination host unreachable.
PC1 192.168.10.3 (YANG TIDAK DIBLOK)
C:\>ping 20.20.20.2 ( menggunakan PC0 (192.168.10.2))
Pinging 20.20.20.2 with 32 bytes of data:
Reply from 20.20.20.2: bytes=32 time<1ms TTL=254
Reply from 20.20.20.2: bytes=32 time<1ms TTL=254
Reply from 20.20.20.2: bytes=32 time<1ms TTL=254
Reply from 20.20.20.2: bytes=32 time<1ms TTL=254
HTTPS & HTTP
PC0 192.168.10.2 (YANG TIDAK DIBLOK)
Buka PC > Desktop > web browser > ketik : "https://20.20.20.2" (80) atau "http://20.20.20.2" (443)
Buka PC > Desktop > web browser > ketik : "https://20.20.20.2" (80) atau "http://20.20.20.2" (443)
No comments:
Post a Comment