Access List, Wilcadmask
CLI Guru - Cisco Eğitim ve Danışmanlık Merkezi |

2007 yılından bu yana aktif olan ciscotr.com, artık " www.bilisim.pro " olarak devam edecektir.  
Mevcut mesajlarınız ve kullanıcı bilgilerinizle sitemizde katılıma devam edebilirsiniz.

+ Reply to Thread
Results 1 to 10 of 10
Access List, Wilcadmask

Merhaba arkadaşlar ilk configurasyonumda routere switch ile bağlı bulunan 2 pc dende çıkış sağlayamıyorum ama 2. konfigurasyonda sadece Access List uyguladıgım ip çıkış yapamıyor burda fark Wilcardmask 'tan kaynaklanıyor anladım

  1. #1
    wakmaa is offline Junior Member
    Join Date
    Aug 2010
    Posts
    5

    Default Access List, Wilcadmask

    Merhaba arkadaşlar ilk configurasyonumda routere switch ile bağlı bulunan 2 pc dende çıkış sağlayamıyorum

    ama 2. konfigurasyonda sadece Access List uyguladıgım ip çıkış yapamıyor
    burda fark Wilcardmask 'tan kaynaklanıyor anladım ama mantığı algılayamadım
    0.0.0.0 ile 0.0.0.255 arasında ki farkı açıklayabilmeniz mümkün mü?

    Hatta wilcardmask'ı 0.0.0.0 yazdığımda sadece "access-list 1 deny host 192.168.6.253" şeklinde yazığınıda anlamadım

    Teşekkürler
    Code:
    Router#show running-config 
    Building configuration...
    
    Current configuration : 923 bytes
    !
    version 12.2
    no service timestamps log datetime msec
    no service timestamps debug datetime msec
    no service password-encryption
    !
    hostname Router
    !
    !
    !
    !
    !
    !
    !
    !
    !
    !
    !
    !
    !
    !
    !
    !
    !
    !
    interface FastEthernet0/0
     ip address 192.168.6.1 255.255.255.0
     ip access-group 1 in
     duplex auto
     speed auto
    !
    interface FastEthernet1/0
     no ip address
     duplex auto
     speed auto
     shutdown
    !
    interface Serial2/0
     ip address 192.168.2.1 255.255.255.0
     clock rate 64000
    !
    interface Serial3/0
     ip address 192.168.1.1 255.255.255.0
     clock rate 64000
    !
    interface FastEthernet4/0
     no ip address
     shutdown
    !
    interface FastEthernet5/0
     no ip address
     shutdown
    !
    router ospf 1
     log-adjacency-changes
     network 192.168.6.0 0.0.0.255 area 0
     network 192.168.2.0 0.0.0.255 area 0
     network 192.168.1.0 0.0.0.255 area 0
    !
    ip classless
    !
    !
    access-list 1 deny 192.168.6.0 0.0.0.255
    access-list 1 permit any
    !
    !
    !
    !
    !
    line con 0
    line vty 0 4
     login
    !
    !
    !
    end
    Code:
    Router#show running-config 
    Building configuration...
    
    Current configuration : 920 bytes
    !
    version 12.2
    no service timestamps log datetime msec
    no service timestamps debug datetime msec
    no service password-encryption
    !
    hostname Router
    !
    !
    !
    !
    !
    !
    !
    !
    !
    !
    !
    !
    !
    !
    !
    !
    !
    !
    interface FastEthernet0/0
     ip address 192.168.6.1 255.255.255.0
     ip access-group 1 in
     duplex auto
     speed auto
    !
    interface FastEthernet1/0
     no ip address
     duplex auto
     speed auto
     shutdown
    !
    interface Serial2/0
     ip address 192.168.2.1 255.255.255.0
     clock rate 64000
    !
    interface Serial3/0
     ip address 192.168.1.1 255.255.255.0
     clock rate 64000
    !
    interface FastEthernet4/0
     no ip address
     shutdown
    !
    interface FastEthernet5/0
     no ip address
     shutdown
    !
    router ospf 1
     log-adjacency-changes
     network 192.168.6.0 0.0.0.255 area 0
     network 192.168.2.0 0.0.0.255 area 0
     network 192.168.1.0 0.0.0.255 area 0
    !
    ip classless
    !
    !
    access-list 1 deny host 192.168.6.253
    access-list 1 permit any
    !
    !
    !
    !
    !
    line con 0
    line vty 0 4
     login
    !
    !
    !
    end

  2. #2
    cbir is offline Member
    Join Date
    Jul 2010
    Posts
    45

    Default

    wildcardmask ile ios'tan hangi bitlerin karşılaştırılıp hangilerinin karşılaştırılmaması gerektiğini ayarlıyorsun.

    mask daki 1 ler "don't care" bit olarak geçer bu kısımlar dikkate alınmaz 0 lar ise uyması gerektiğini belirtir. yani 0.0.0.0 girersen ios'tan bütün oktetlerin uymasını istemiş olursun.

    0.0.0.255 girersen ilk 3 oktetin uymasını son oktetin önemli olmadığını belirtmiş olursun. access-list 1 deny host 192.168.6.253 burada maskın 0.0.0.0 olursa sadece bu ip engellenir.

    0.0.0.255 vs yaparsan 192.168.6.0 subnetindeki bütün ipleri engellemiş olursun.

    bildiğim kadarıyla bu şekilde umarım işine yarar. ayrıca google da arama yaptırırsan birçok kaynağa ulaşabilirsin.

  3. #3
    wakmaa is offline Junior Member
    Join Date
    Aug 2010
    Posts
    5

    Default

    O zaman A class bir ip havuzunu engellemek için 0.255.255.255 ve tek ip engellemek için 0.0.255.255
    Bu mudur?

  4. #4
    cbir is offline Member
    Join Date
    Jul 2010
    Posts
    45

    Default

    acl de class olayı yok.subnet maskın tersi olarak düşünürseniz daha iyi anlarsınız. 0.255.255.255 yaparsan ilk octeti uyanları engeller. tek ip engellemek için 0.0.0.0 yapman gerekir.

  5. #5
    wakmaa is offline Junior Member
    Join Date
    Aug 2010
    Posts
    5

    Default

    Anladım sanırım arkadaşım çok teşekkür ederim
    Aslında çok açıklayıcı bir cevap ama ben genede kafamdaki soruyu sormak istiyorum

    Elimizde 10.1.0.1-10 die bir havuzunda bulunan 10 pc var
    1 tane seçtiğim engellemek için 0.0.0.0
    10.1.0.X li bütün ip leri engellemek için 0.0.0.255
    10.1.X.X li leri engellemek için 0.0.255.255
    10.X.X.X li leri engellemek için 0.255.255.255
    yazmam gerekiyor
    'Di mi?

  6. #6
    mely is offline Senior Member
    Join Date
    Oct 2008
    Location
    Istanbul
    Posts
    326

    Default

    yazdığın standart access-list için ise ve de alttaki yazdığına benzer bişey ise dogrudur. Ama biraz duz mantık ilerliyosun gibi geldi bana sanki.

    10.1.8.0 /26 lı subnetworkten herhangi bir yere giden bir ip bloklansın denildiğinde ne yazılacak peki?

    Kolay gelsin..

  7. #7
    wakmaa is offline Junior Member
    Join Date
    Aug 2010
    Posts
    5

    Default

    Sanırım şöyle yapardım
    bir ip seçerdim,mesala

    Address: 10.1.8.2
    Netmask: 255.255.255.192
    Wildcard: 0.0.0.63

    Budurumda 0.0.0.63 ı kullanırsam tüm ip bloğunu sanırım engellemiş oluyorum
    buraya kadar sanırım eminim ama yanlış olmasıda çok mümkün
    ancak emin olamadoğım sadece " 10.1.8.2 " ip sini engellemek için 0.0.0.192 mi kullanmam gerekiyor?
    Last edited by wakmaa; 10.08.2010 at 17:35.

  8. #8
    mely is offline Senior Member
    Join Date
    Oct 2008
    Location
    Istanbul
    Posts
    326

    Default

    dogru
    0.0.0.63 olacak.

    Fakat host için 0.0.0.0 olacak.

    access-list 1 deny 10.1.8.2 0.0.0.0 ya da access-list 1 deny host 10.1.8.2
    access-list 1 permit any

  9. #9
    wakmaa is offline Junior Member
    Join Date
    Aug 2010
    Posts
    5

    Default

    Çok teşekkür ederim Melih...

  10. #10
    Unknown is offline Member
    Join Date
    Jun 2011
    Posts
    70

    Default

    Konu geçmiş olsada bende küçük bir ekleme yapayım. Örnek adresim

    IP ADRESS WILDCARD MASK

    192.168.0.0 0.0.255.255


    Burada wildcard mask'ta ki ilk oktet'in "0" olması şu anlama geliyor. Yani biz şunu demiş oluyoruz. İlk oktet'te "0" gördün o halde ilk oktet'i 192 olan interface'i bul.

    Ardından wildcard mask'ta ikinci oktetim "0" o halde ikinci okteti 168 olan interface'e odaklan. Çünkü zaten wildcard mask'ta kii ilk sıfırdan (birinci okteti 192 olanı/olanları zaten bulmuştuk).

    BU durumda özetleyukardaki ifade şu anlama geliyor.

    İlk okteti 192 ve ikinciokteti 168 olan interfaceleri bul. 3. ve 4. oktetleri ne olursa olsun önemli değil. Neden ? Çünkü wildcard mask'ta "0" olan oktetler ilk ve ikinci oktetler.

    Aslında özetle olay şu : wildcard mask'ın hangi oktetinde "0" görürsem IP adresinin o oktetinde karşılık gelen rakamı sağlayan -eşleşen IP adreslerine bakacağım veya arayacağım.

    Bazı örnekler

    192. 0.0.0 - 0.255.255.255
    137.54.0.0 - 0. 0.255.255
    192.168.5.0 - 0. 0. 0.255
    192.168.5.3 - 0. 0. 0. 0 (belirli bir IP adresi için)


    Yardımcı olabildiğimi umarım
    Last edited by Unknown; 09.09.2011 at 02:22.

+ Reply to Thread

Bookmarks

Posting Permissions

  • You may not post new threads
  • You may not post replies
  • You may not post attachments
  • You may not edit your posts