Las ACL son parámetros fundamentales en le funcionamiento de un router Cisco, ya que gracias a esto se crea una barrera que le da mas seguridad a nuestra red.
Desde la zona EXEC / Configure Terminal de la consola del router podemos realizar tanto ACL Estandards como Extendidas.
Para la creación de esta se RECOMIENDA realizar un script en algún blog de notas y crearlas desde la regla mas explicita ( host - host ), luego las generales ( host - red ) y por último las globales ( red -any ) ó ( any - any )
Estandart : Son reglas generales, en las cuales se permiten o deniegan los accesos de la(s) red(es) o otra(s) red(es). Hay 2 formas de ejecutarlas:
1) # access-list < 1-99 > < permit o deny > < direccion_red > < mascara_red >
2) # ip access-list stand "nombre_de_la_ACL"
# < permit o deny > < direccion_red > < mascara_red >
EJ:
# permit 192.168.1.0 0.0.0.255 (permite el acceso a la red 192.168.1.0/24)
# deny 192.168.2.0 0.0.0.0.255 (deniega el acceso a la red 192.168.2.0/24)
Extendida: Son reglas mucho mas especificas, con las cuales podemos determinar el protocolo ( TCP, UDP, ICMP, etc.), sde que host o red viene dirigida, a que host o red va dirigida y a cual o cuales puertos esta relacionada. Hay 2 formas de ejecutarlas:
1) # access-list < 100-199 > < permit o deny > .... y sus parámetros--- (ver ejemplos)
2) # ip access-list exten "nombre_de_la_ACL"
# permit tcp host 192.168.1.10 host 192.168.2.20 eq www
(permitir al host 192...1.10 tener un nlace con el host 192...2.20 via puerto 80)
# permit udp 192.168.1.0 0.0.0.0.255 host 192.168.2.12 eq 53
# permit tcp 192.168.1.0 0.0.0.0.255 host 192.168.2.12 eq 53
(permitir a la red 192.168.1.0/24 realizar conexion DNS al host 192...2.12)
# deny icmp host 192.168.1.11 192.168.3.0 0.0.0.255 echo
(denar al host 192...1.11 realizar ping a la red 192.168.3.0/24)
# permit tcp host 192.168.1.12 172.16.1.0 0.0.0.15 eq 22
(permitir al host 192...1.12 hacer conexión via SSH a la red 172.16.1.0/28)
# permit ip any any #deny ip any any
(permite todo de todo) (deniega todo de todo)
#permit ip 172.16.2.0 0.0.0.255 any telnet
(permite a la red 172.16.2.0/24 hacer conexión por el puerto 23 a todos)
Como podemos ver en las ACLs extendidas pueden ser muy exactas y detalladas se utiliza la WILDCARD para referirse a las redes.
NOTA: Para los que no distinguen la wildcard es la inversa de la mascara común, es decir.
24 = 255.255.255.0 >> wildcard >> 0.0.0.255
28 = 255.255.255.240 >> wildcard >> 0.0.0.15
30 = 255.255.255.252 >> wildcard >> 0.0.0.3
No hay comentarios:
Publicar un comentario