Bắt theo port trong Extended ACL: Bắt Range Port, NEQ, LT, GT

Trong ACL extended của Cisco có thể cho mình bắt theo port rất linh hoạt:

1. So sánh port bằng toán tử: eq, neq, lt, gt    
2. Chỉ định nhiều port cùng một lúc
3. Định nghĩa range port (khoảng port) – dùng range

Dưới đây là mẫu khai ví dụ từng loại:

1️ Các kiểu bắt port

Ví dụ :

access-list 100 permit tcp any any eq 80

access-list 100 deny   tcp any any neq 22

access-list 100 permit tcp any any lt 1024

access-list 100 permit tcp any any gt 2000

access-list 100 permit tcp any any range 8000 9000

2️ Khi nào bắt theo range port?

Ví dụ Cho phép FTP Passive Mode (multi-port)

access-list 130 permit tcp any host 192.168.20.10 eq 21

access-list 130 permit tcp any host 192.168.20.10 range 30000 31000

access-list 130 deny   ip any any

Hoặc mở cho tổng đài voice ip.

3️ Khi nào dùng eq, lt,gt

Khi ta muốn lọc theo nhóm dịch vụ, chẳng hạn:

✔ Cho phép tất cả port well-known (0–1023)

access-list 102 permit tcp any any lt 1024

✔ Chặn toàn bộ ứng dụng custom (port cao)

access-list 102 deny tcp any any gt 20000

✔ Cho phép dịch vụ lớn hơn port 1024 (các ứng dụng như RTP, random high ports)

access-list 102 permit udp any any gt 1024

4️ Dùng neq khi nào? => ít khi dùng

neq nghĩa là “not equal”, ví dụ bắt mọi port khác port 22

Ví dụ: chỉ cho phép SSH, chặn mọi port khác đến server 10.1.1.10

access-list 103 permit tcp any host 10.1.1.10 eq 22

access-list 103 deny   tcp any host 10.1.1.10 neq 22

📌 Tóm lại

Extended ACL có các lựa chọn sau về port, mình biết để áp dụng khi cần:

• eq: so khớp port cụ thể
• neq: bắt tất cả port trừ một port cụ thể
• lt, gt: lọc port theo khoảng nhỏ hơn lớn hơn
• range: bắt dải port, lên hàng nghìn port, không thể viết riêng lẻ được