Esimerkki Access-listoista -------------------------- Pekka Savola, 1999 Omia osoitteita: 111.111.111.0/24 = oma verkko 111.111.111.9 = oma aikapalvelin 111.111.111.1 = oma nimipalvelin 111.111.111.2 = oma SSH-palvelin 111.111.111.3 = oma WWW-palvelin Oman verkon palvelin on oman C-osoiteavaruuden authoritative nimipalvelin, ja siihen on päästettävä nimipalvelukyselyt maailmalta. Palveluntarjoajan osoitteita: 222.222.222.1 = aikapalvelin 1 222.222.222.2 = aikapalvelin 2 222.222.222.21 = nimipalvelin 1 222.222.222.22 = nimipalvelin 2 ------------------------- ; Oman verkon osoite ei saa olla lähdeosoitteena; estää ; vaaralliset osoiteväärennykset. Pidetään yrityksistä kirjaa. access-list 103 deny ip 111.111.111.0 0.0.0.255 any log-input ; Päästää sisään ns. paluupaketit. Tämä sääntö on toisena, koska ; suurin osa paketeista kuuluu tähän kategoriaan (eikä siten koko listaa ; tarvitse aina käydä läpi) access-list 103 permit tcp any 111.111.111.0 0.0.0.255 gt 1023 established ; Hyväksyy www- ja ssh-liikenteen tietyille palvelimille. access-list 103 permit tcp any host 111.111.111.2 eq 22 access-list 103 permit tcp any host 111.111.111.3 eq www ; Hyväksyy 'destination unreachable', 'echo-reply' ja 'time-exceeded' ; ICMP-viestit. Muita ei oikeastaan tarvita. Tämä estää esimerkiksi ; oman verkon koneiden päälläolon tarkistuksen ulkoa käsin 'ping':illä. access-list 103 permit icmp any 111.111.111.0 0.0.0.255 unreachable access-list 103 permit icmp any 111.111.111.0 0.0.0.255 echo-reply access-list 103 permit icmp any 111.111.111.0 0.0.0.255 time-exceeded ; Hyväksyy ajan synkronoinnin palveluntarjoajan palvelimilta NTP-protokollaa käyttäen access-list 103 permit udp host 222.222.222.1 eq ntp host 111.111.111.9 eq ntp access-list 103 permit udp host 222.222.222.2 eq ntp host 111.111.111.9 eq ntp ; Kaksi ensimmäistä hyväksyvät kaikki nimipalvelukyselyt maailmalta ; (oma kone on auth. DNS), loput neljä TCP ja UDP -nimipalvelukyselyjen ; vastaukset palveluntarjoajan nimipalvelimilta. access-list 103 permit udp any host 111.111.111.1 eq domain access-list 103 permit tcp any host 111.111.111.1 eq domain access-list 103 permit udp host 222.222.222.21 eq domain host 111.111.111.1 gt 1023 access-list 103 permit udp host 222.222.222.22 eq domain host 111.111.111.1 gt 1023 access-list 103 permit tcp host 222.222.222.21 eq domain host 111.111.111.1 gt 1023 access-list 103 permit tcp host 222.222.222.22 eq domain host 111.111.111.1 gt 1023 ; Kielletään kaikki muu ja pidetään siitä kirjaa. access-list 103 deny ip any any log-input -------------------------