-
Configurar ACLs en un router Cisco
Estándar
Sólo tienen en cuenta las IPs de la red de origen. No tienen en cuenta protocolos ni puertos.
Se ubican lo más cerca del destino posible.ip access-list standard 1-99 (O nombre) deny 192.168.1.0 0.0.0.255 permit any exit int gi2/0 ip access-group 1-99 (O nombre) out exit
Extendida
Tienen en cuenta, tanto las IPs de origen, como las de destino. También tienen en cuenta protocolos y puertos.
Se ubican lo más cerca posible al origen.ip access-list extended 100-199 (O nombre) deny tcp 192.168.6.0 0.0.0.255 192.160.5.231 0.0.0.255 eq 80 deny tcp 192.168.6.0 0.0.0.255 192.168.5.231 0.0.0.255 eq 443 deny udp 192.168.6.0 0.0.0.255 192.168.5.226 0.0.0.255 eq 53 deny icmp 192.168.6.0 0.0.0.255 192.168.5.224 0.0.0.31 permit ip any any exit int gi2/0 ip access-group 100-199 (O nombre) in exit
Otra forma:
ip access-list extended 100-199 (O nombre) deny tcp 192.168.6.0 0.0.0.255 192.160.5.231 0.0.0.255 neq 80 deny tcp 192.168.6.0 0.0.0.255 192.168.5.231 0.0.0.255 gt 443 permit ip any any exit int gi2/0 ip access-group 100-199 (O nombre) in exit
Reflexiva
Permiten controlar que una conexión pueda darse en un sentido, pero no en sentido inverso.
En Packet Tracer sólo puede hacerse con tcp. Ni udp, ni icmp, etc.
Se ubica en la interfaz más cercana al punto de retorno de los paquetes. Es decir, en la primera interfaz que se encuentra el paquete después de empezar a volver.
Se declara como una access-list extendida con el agregado de la palabra established.
Sólo hay que prestar atención a cuales son las IPs de origen. En este caso serían las del punto de retorno.ip access-list extended 100-199 (O nombre) permit tcp 192.160.5.231 0.0.0.255 192.168.6.0 0.0.0.255 established exit int gi2/0 ip access-group 100-199 (O nombre) in exit
ADVERTENCIA SOBRE REFLEXIVAS: Cuidado con estas reglas reflexivas, porque el origen del tráfico no es la IP de la red permitida, sino la/las IPs de la red bloqueada. Te puedes confundir con esto porque creerás seguramente que el origen es desde donde sale el primer ping, pero no.
NOTA: Para visualizar las listas de acceso que tiene configurada un router, ejecuta como enabled:
show access-list
ADVERTENCIA: Sólo se puede tener 1 access-group de entrada y 1 de salida en cada interfaz. Si metes un nuevo access-group de entrada o de salida en una interfaz que ya tenía uno, ¡quitarás de esa interfaz el access-group anterior! Lo mejor, en este caso, sería ir acumulando los deny anteriores en cada nuevo access-list que quieras vincular a esa interfaz.
NOTA: Recuerda no poner ACLs en interfaces loopback, porque las ACLs no filtran paquetes originados desde el mismo router. Es decir, por ejemplo, imagina que el router recibe un ping en la interfaz física. Bien, pues si el router calcula que el ping estaba dirigido a una interfaz que él mismo tiene, no va a reenviar el paquete hacia la interfaz de loopback. Responderá el ping él mismo y no verás matches en las ACLs que pongas en la propia interfaz de loopback.
Lo que sí puedes hacer es poner las ACLs, aunque éstas sólo sean de reglas sobre la loopback, en la interfaz física por donde entran osalen los paquetes.
Los hacks de hacks4geeks son minitutoriales rápidos pensados para geeks con conocimiento informático avanzado. Si no entiendes o no consigues ejecutar un hack de esta web considera suscribirte a Premium para solicitar asistencia sobre el mismo.