Bài giảng "Quản trị mạng và hệ thống - Chương 4: ACL, NAT/PAT, IPTABLES" cung cấp cho người học các kiến thức: Khái niệm access list, cơ chế hoạt động của ACL, phương pháp cấu hình ACL, các phương pháp ánh xạ địa chỉ, Iptables trong Linux. . | 11/28/2016 Quản trị mạng và hệ thống - Chương 4 NỘI DUNG CHƯƠNG 4 ACL, NAT/PAT, IPTABLES •Khái niệm access list •Cơ chế hoạt động của ACL •Phương pháp cấu hình ACL •Các phương pháp ánh xạ địa chỉ •Iptables trong Linux THS. TRẦN THỊ DUNG DUNGT T@ 1 Khái niệm ACL 2 Khái niệm ACL •ACL là một danh sách các dòng cho phép hay cấm các gói tin ra/vào một router. •ACL phân tích các gói tin đến và đi để tiến hành chuyển tiếp hoặc hủy gói tin dựa trên các tiêu chí như địa chỉ IP nguồn/đích, giao thức. •Hay còn gọi là Packet filtering 3 Một TCP Conversation 4 Ví dụ 5 6 1 11/28/2016 Quản trị mạng và hệ thống - Chương 4 NỘI DUNG Hoạt động của ACL •Khái niệm access list •Cơ chế hoạt động của ACL •Phương pháp cấu hình ACL •Các phương pháp ánh xạ địa chỉ •Iptables trong Linux Inbound ACL Lọc những gói tin đến một interface của router, trước khi router định tuyến đến một interface khác Outbound ACL Lọc những gói tin sau khi router định tuyến/chuyển tiếp ra một interface 7 Các loại ACL trên thiết bị Cisco 8 Hoạt động của Inbound ACL Nếu inbound ACL được đặt tại một interface, các gói tin sẽ được kiểm tra trước khi được định tuyến. Nếu một gói tin phù hợp với một dòng ACL có kết quả là permit thì gói tin đó sẽ được định tuyến. Nếu một gói tin phù hợp với một dòng ACL có kết quả là deny, router sẽ hủy gói tin đó. Nếu một gói tin không phù hợp các dòng của ACL, nó sẽ được hiểu là “implicitly denied” và bị hủy. ACL chuẩn - Standard ACLs ACL mở rộng - Extended ACLs 9 Hoạt động của Outbound ACL 10 Hoạt động của Outbound ACL Gói tin được định tuyến trước khi được đưa đến interface để ra khỏi router. Nếu outbound interface không có ACL, gói tin sẽ được đẩy ra khỏi interface đó. Nếu outbound interface có ACL, gói tin sẽ được kiểm tra trước khi bị đẩy ra khỏi interface đó. Nếu một gói tin phù hợp với một dòng ACL có kết quả là permit thì gói tin đó sẽ được đẩy ra khỏi interface. 11 Nếu một gói tin phù hợp với một dòng ACL có kết quả là deny, gói .