Thắc mắc về ACLs

**khang8x** · 07-04-2012, 03:46 PM

Hình như đối với gió tin bị phân thành nhiều mảnh ===> mất đi thông tin layer 4 ( port ), thì khi Permit hay Deny, mặc dù có thêm kiểm tra thông tin về port, lại kiểm tra khác nhau :

1/. Permit: chỉ check thông tin layer 3 ( IP ) trên các gói fragment còn lại mà thôi ( các gói fragment bị mấy thông tin layer 4 ) , nếu đúng IP là permit

2/. Deny: check đầy đủ thông tin layer 4 mặc dù biết rằng cái gói fragment bị mất thông tin layer 4 ===> không bao giờ đúng về thông tin layer 4 nên dẫn tới việc không bao giờ deny được mấy gói tin fragment này

KHông biết mình hiểu vậy có đúng không ? Xin cám ơn

**dante04** · 07-04-2012, 09:05 PM

Code:

Permit ACL line with L3 and L4 information


If a packet's L3 and L4 information matches the ACL line and FO = 0, the packet is permitted.
If a packet's L3 information matches the ACL line and FO > 0, the packet is permitted.
Deny ACL line with L3 and L4 information


If a packet's L3 and L4 information matches the ACL entry and FO = 0, the packet is denied.
If a packet's L3 information matches the ACL line and FO > 0, the next ACL entry is processed.

FO=0, packet là gói tin ko bị phân mảnh hoặc là phần đầu tiên của gói bị phân mảnh (nếu gói tin bị phân mảnh thì phần đầu tiên có chứa thông tin header L4)
FO>0, packet là phần phân mảnh của gói tin và ko phải là phần đầu tiên (chỉ chứa data,ko chứa thông tin header L4)

Đối với permit nếu packet bị phân mảnh và ko phải là gói đầu tiên thì chỉ check thông tin L3 nếu phù hợp và trường FO trong header IP >0 thì permit
đối với deny nếu packet bị phân mảnh và ko phải là gói đầu tiên thì chỉ check thông tin L3 nếu phù hợp và trường FO trong header IP >0 thì deny và the next ACL entry is processed

**khang8x** · 07-04-2012, 11:34 PM

Originally Posted by dante04

Code:

Permit ACL line with L3 and L4 information


If a packet's L3 and L4 information matches the ACL line and FO = 0, the packet is permitted.
If a packet's L3 information matches the ACL line and FO > 0, the packet is permitted.
Deny ACL line with L3 and L4 information


If a packet's L3 and L4 information matches the ACL entry and FO = 0, the packet is denied.
If a packet's L3 information matches the ACL line and FO > 0, the next ACL entry is processed.

FO=0, packet là gói tin ko bị phân mảnh hoặc là phần đầu tiên của gói bị phân mảnh (nếu gói tin bị phân mảnh thì phần đầu tiên có chứa thông tin header L4)
FO>0, packet là phần phân mảnh của gói tin và ko phải là phần đầu tiên (chỉ chứa data,ko chứa thông tin header L4)

Đối với permit nếu packet bị phân mảnh và ko phải là gói đầu tiên thì chỉ check thông tin L3 nếu phù hợp và trường FO trong header IP >0 thì permit
đối với deny nếu packet bị phân mảnh và ko phải là gói đầu tiên thì chỉ check thông tin L3 nếu phù hợp và trường FO trong header IP >0 thì deny và the next ACL entry is processed

Đã hiểu rõ. Cám ơn bạn nhiều

Thread: Thắc mắc về ACLs

Thread Tools

Display

Thắc mắc về ACLs

Posting Permissions