domingo, 18 de octubre de 2015

ACL extendida

Filtran el paquete por origen, destino y el tipo de protocolo. 

Son sentencias que se configuran en el dispositivo y se aplican dentro de una interface o sub-interface, y permiten realizar un filtrado de los paquetes que entran o salen de las interfaces.
Existen dos tipos, ambos tipos pueden ser nombradas o numeradas:

(si son numeradas van desde el número 100-199): La intentaremos asignar a una interface de entrada ( IN )

Numeradas:
 (config)#access-list número {permit/deny/remark} {ip,tcp,udp o icmp} {dirección ip origen} {wildcard origen} {dirección ip   
    destino} {wildcard destino} {eq (solo si en protocolo ponemos tcp o udp) número puerto destino}

(config)# access-list 100 permit ip 192.168.1.0 0.0.0.255 8.0.0.0 0.255.255.255 --- permite todo el trafico desde la red 192.168.1.0 /24 con destino a la subred 8.0.0.0 /24
Nombradas:
 (config)# ip access-list extended nombre
 (config-ext-nacl)# {permit/deny/remark} {ip,tcp,udp o icmp} {dirección ip origen} {wildcard origen} {dirección ip
 destino}   {wildcard destino} {eq (solo si en protocolo ponemos tcp o udp) número puerto destino}
 (config)# ip access-list extended PERMITIR
 (config-ext-nacl)# permit ip 192.168.1.0 0.0.0.255 8.0.0.0 0.255.255.255 --- es el mismo ejemplo que el anterior pero  
 Nombrada

Las reglas que se aplican a una misma red y se asignan a una misma interface se deben crear con el mismo número y se escriben en orden. Se ejecutan secuencialmente, es decir cuando un paquete de datos llega a una interface que tiene una lista de acceso, comprueba si coincide con la primera regla, si es así ejecuta el permit o el deny y deja de comprobar, sino es así va a la segunda regla…y así sucesivamente sino coincide con ninguna, al final como hemos puesto un deny ip any any…denegará el paquete.
·        CREACION DE ACL EXTENDIDA

Numerada:
 (config)# access-list 100 permit tcp 192.168.1.0 0.0.0.255 8.0.0.0 0.255.255.255 eq 80 --- Permite a todos los equipos de
la red 192.168.1.0 /24 conectarse a la subred 8.0.0.0 por el Puerto 80 tcp (http)
 (config)# access-list 100 deny ip any any --- deniega todo de trafico
 (config)# interface fa0/0 --- asignamos la acl a una interface
 (config-if)#ip access-group 100 in --- le decimos si la acl es de entrada ( IN ) o salida ( OUT ), estas dos ultimas sentencias
son muy importantes, ya que sin ellas las reglas no se aplicaran
Nombrada:
(config)# access-list extended PERMITIR_WEB --- asignamos nombre a la acl
(config-ext-nacl)# permit tcp 192.168.1.0 0.0.0.255 8.0.0.0 0.255.255.255 eq 80 --- Permite a todos los equipos de
la red 192.168.1.0 /24 conectarse a la subred 8.0.0.0 por el Puerto 80 tcp (http)
(config)# access-list PERMITIR_WEB deny ip any any --- deniega todo de trafico
(config)# interface fa0/0 --- asignamos la acl a una interface
(config-if)#ip access-group PERMITIR_WEB  in --- le decimos si la acl es de entrada ( IN ) o salida ( OUT )



·        COMO ARREGLAR UNA SENTENCIA ERRONEA

·        Escribimos: do show Access-list o do sh acc (abreviado)
·        Copiamos la linea que nos interesa modificar
·        Escribimos:  ip Access-list extended 100
·        No 30 ---- elimina la línea errónea en nuestro caso seria la línea 30
·        Pegamos lo copiado y modificamos el error
·        Do wr



Publicado por en

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)