Filtrowanie pakietów - przykład
Aby łatwiej zrozumieć mechanizm filtrowania pakietów przez router, wyobraź sobie zamknięte drzwi i pilnującego je strażnika. Zadaniem strażnika jest przepuszczanie przez drzwi tylko tych osób, których nazwiska widnieją na liście. Dokonuje on selekcji osób na podstawie kryterium, którym jest obecność nazwiska na liście upoważnionych. Lista ACL działa w podobny sposób, decyzje podejmowane są na podstawie ustalonego zestawu kryteriów.
Na przykład, lista ACL może być skonfigurowana w sposób logiczny, "Zezwól na żądania WWW dla użytkowników z sieci A i zablokuj im dostęp do wszystkich innych usług sieciowych. Zablokuj dostęp użytkownikom sieci B do usługi WWW, ale zezwól im na dostęp do innych usług." Patrząc na rysunek spróbujemy prześledzić ścieżkę decyzyjną, której używa filtr pakietów w tym przykładzie.
W tym scenariuszu, mechanizm filtrowania wykonuje na każdym pakiecie następujące czynności:
- Jeżeli pakiet pochodzi z sieci A, jest typu TCP SYN oraz używa portu docelowego 80, zostaje przepuszczony. Cały pozostały ruch dla użytkowników tej sieci jest zablokowany.
- Natomiast jeżeli pakiet pochodzi z sieci B, jest typu TCP SYN i używa portu 80, jest blokowany. Cały pozostały ruch z tej sieci jest przepuszczany.
To tylko prosty przykład, w praktyce lista ACL może zawierać wiele zasad zezwalających lub ograniczających dostęp do usług wybranym użytkownikom.