• If this is your first visit, be sure to check out the FAQ by clicking the link above. You may have to register before you can post: click the register link above to proceed. To start viewing messages, select the forum that you want to visit from the selection below.
Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.

Announcement

Collapse
No announcement yet.

Thắc mắc về ACLs

Collapse
X
 
  • Filter
  • Time
  • Show
Clear All
new posts

  • Thắc mắc về ACLs

    Hình như đối với gió tin bị phân thành nhiều mảnh ===> mất đi thông tin layer 4 ( port ), thì khi Permit hay Deny, mặc dù có thêm kiểm tra thông tin về port, lại kiểm tra khác nhau :

    1/. Permit: chỉ check thông tin layer 3 ( IP ) trên các gói fragment còn lại mà thôi ( các gói fragment bị mấy thông tin layer 4 ) , nếu đúng IP là permit

    2/. Deny: check đầy đủ thông tin layer 4 mặc dù biết rằng cái gói fragment bị mất thông tin layer 4 ===> không bao giờ đúng về thông tin layer 4 nên dẫn tới việc không bao giờ deny được mấy gói tin fragment này

    KHông biết mình hiểu vậy có đúng không ? Xin cám ơn

  • #2
    Code:
    [B]Permit ACL line with L3 and L4 information[/B]
    
    [LIST=1][*]If a packet's L3 and L4 information matches the ACL line and FO = 0, the packet is permitted.[*]If a packet's L3 information matches the ACL line and FO > 0, the packet is permitted.[/LIST]
    [B]Deny ACL line with L3 and L4 information[/B]
    
    [LIST=1][*]If a packet's L3 and L4 information matches the ACL entry and FO = 0, the packet is denied.[*]If a packet's L3 information matches the ACL line and FO > 0, the next ACL entry is processed.[/LIST]
    1. FO=0, packet là gói tin ko bị phân mảnh hoặc là phần đầu tiên của gói bị phân mảnh (nếu gói tin bị phân mảnh thì phần đầu tiên có chứa thông tin header L4)
      FO>0, packet là phần phân mảnh của gói tin và ko phải là phần đầu tiên (chỉ chứa data,ko chứa thông tin header L4)

    Đối với permit nếu packet bị phân mảnh và ko phải là gói đầu tiên thì chỉ check thông tin L3 nếu phù hợp và trường FO trong header IP >0 thì permit
    đối với deny nếu packet bị phân mảnh và ko phải là gói đầu tiên thì chỉ check thông tin L3 nếu phù hợp và trường FO trong header IP >0 thì deny và the next ACL entry is processed
    Last edited by dante04; 07-04-2012, 09:18 PM.

    Comment


    • #3
      Originally posted by dante04 View Post
      Code:
      [B]Permit ACL line with L3 and L4 information[/B]
      
      [LIST=1][*]If a packet's L3 and L4 information matches the ACL line and FO = 0, the packet is permitted.[*]If a packet's L3 information matches the ACL line and FO > 0, the packet is permitted.[/LIST]
      [B]Deny ACL line with L3 and L4 information[/B]
      
      [LIST=1][*]If a packet's L3 and L4 information matches the ACL entry and FO = 0, the packet is denied.[*]If a packet's L3 information matches the ACL line and FO > 0, the next ACL entry is processed.[/LIST]
      1. FO=0, packet là gói tin ko bị phân mảnh hoặc là phần đầu tiên của gói bị phân mảnh (nếu gói tin bị phân mảnh thì phần đầu tiên có chứa thông tin header L4)
        FO>0, packet là phần phân mảnh của gói tin và ko phải là phần đầu tiên (chỉ chứa data,ko chứa thông tin header L4)

      Đối với permit nếu packet bị phân mảnh và ko phải là gói đầu tiên thì chỉ check thông tin L3 nếu phù hợp và trường FO trong header IP >0 thì permit
      đối với deny nếu packet bị phân mảnh và ko phải là gói đầu tiên thì chỉ check thông tin L3 nếu phù hợp và trường FO trong header IP >0 thì deny và the next ACL entry is processed
      Đã hiểu rõ. Cám ơn bạn nhiều

      Comment

      Working...
      X