Basic Concept – Creating Access List

Access List, sederhananya adalah jurus listing/marking di cisco yang menentukan mana yang boleh, mana yang tidak (laah pilihannya kan permit sama deny doang…haha). Intinya ya itu, list mana yang boleh, mana yang tidak.

Gitu doang?? biasanya access list itu buat firewall kan?? Nah ini nih yang kurang beres, ibaratnya udah ketanem kalo access list itu firewall -_- . Firewall kan buat nyaring paket yang lewat, mana yang boleh, access list juga iya. Tapi access list juga bisa dipake buat yang lain, misal define list mana yang mau di NAT, define buat pengelompokan di QOS, define subnet buat routing…dll…. ibaratnya access list itu list mentah, mau diterapin dimana monggo.

Oke kembali ke Access list (malah muter2 pembahasannya). Access List ada 2 macem, Standard sama Extended. Kalo yang Standard dia cuma pake parameter ip source-address doang (Layer3), nah kalo extended dia bisa lebih mendetail sampe protocol alias Layer 4. Jadi kalo mau maen ngeblok/allow ip address doang, pake yang standard aja gampang. Mau yang lebih detail? misal dari mana, mau kemana, protocol apa atau tcp/udp port berapa, maka pakailah yang extended.

Untuk identitas access list standard dialokasikan nomor 1-99 dan 2000-2699, yang extended dari nomor 100-199 dan 2000-2699. Atau bisa juga identitas access list pake String alias hurup (gw suka nih pake string).

Access list buat ngedefine match ip bisa pake wildcard mask, ato pake host x.x.x.x kalo cuma match 1 ip doang, dan ‘any’ yang artinya pokoke match semua paket yang lewat.

Next, di cisco 1 interface cuma bisa dikasih 1 Access List untuk 1 arahnya. Jadi bisa diterapin 1 Access List untuk InBound Traffic, dan 1 lagi buat OutBound Traffic.

Kok dikit banget?? cuma sebiji access list doang?? Iyee… cuma sebiji doang dalam 1 arah, tapi kan 1 biji access list bisa lu isi buanyak rule coy. Jangan lu pikir 1 Access List cuma bisa diisi 1 biji rule doang -_- :v

Kalo 1 Access List bisa diisi banyak rule lalu dia baca rulenya gimana dong?? Pertanyaan bagus, access list baca rule secara berurutan sesuai dengan sequence number. router bakal nyocokin paket yang lewat dengan access list yang dipake mulai dari sequence number kecil, kalo kagak match lalu ke rule selanjutnya, begitu seterusnya. Kalau tidak ada rule yang match, maka packet itu akan di drop, ini nih yang namanya implicit deny.

Oke mari kita praktekkan. (1) Skenario 1, bikin access list nomor 77 buat permit network 192.168.77.0/24 tapi deny ip 192.168.77.77. cekidot :

access-list 77 deny host 192.168.77.77

access-list 77 permit 192.168.77.0 0.0.0.255

Kite buat dulu rule spesifik, baru ke rule yang general. kayak diatas, kita deny dulu ip 192.168.77.77 baru allow networknya (192.168.77.0/24). dua rule diatas hanya match dengan ip address 192.168.77.77 dan network 192.168.77.0/24, lalu gimana ip address lain? kena implicit deny karena nggak ada rule yang match 😀

(2) Skenario 2, bikin access list dengan nama NET-99 supaya ip di network 192.168.99.0/25 tidak bisa akses web (tcp port 80) dan perbolehkan semua.

ip access-list extended NET-99

deny tcp 192.168.99.0 0.0.0.127  any eq 80

permit any any

Maksud command diatas, pertama kita bikin access list type extended dengan nama NET-99. kedua kita deny paket tcp dari 192.168.99.0/25 destination sembarang (any) dengan destination port 80 (http). ketiga permit dari mana aja ke mana aja. kalo nggak kita define permit any any yaaaa akan kena implicit deny deh.

Dah, access list udah dibuat, bukan berarti udah diterapin sama router, ibaratnya ini baru daftar (list) doang, nah mari kita terapin, misal untuk traffic in/out interface. Kita terapin access list NET-99 untuk traffic inbound fi fa0/1.

int fa 0/1

ip access-group NET-99 in

Nah perhatiin tuh directionnya, in atau out. Bakal bener-bener main logika nih, if then access list, mana yang match, sequencing, direction………. dicoba-coba sendiri deh. Nanti juga paham sendiri seiring jam terbang…haha…

2 thoughts on “Basic Concept – Creating Access List

  1. Kite buat dulu rule spesifik, baru ke rule yang general. kayak diatas, kita deny dulu ip 192.168.77.77 baru allow networknya (182.168.77.0/24)

    182 apa 192 tu ?

Komen dimari gann....

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s