Práctica ACL en Router
ACL
- Interfaz izquierda: 10.0.1.0/8
- Interfaz derecha: 192.168.2.0/24
- Servidor HTTP: 192.168.2.10/24
Denegar acceso de una red a un equipo
ip access-list extended 100 deny tcp 10.0.1.0 0.0.0.255 192.168.2.10 0.0.0.0
PC0 no puede conectar con HTTP pero PC1 si
ip access-list extended 100 permit tcp 10.0.1.11 0.0.0.0 192.168.2.10 0.0.0.0 eq 80
Ver los permisos
Router#show ip access-list Standard IP access list n1 Extended IP access list 100 10 deny tcp 10.0.1.0 0.0.0.25 host 192.168.2.10 20 deny tcp 10.0.1.0 0.0.0.255 host 192.168.2.10 30 permit tcp host 10.0.1.11 host 192.168.2.10 eq www
Borrar Regla Anterior
Borramos la regla anterior y hacemos una nueva: Que PC0 no pueda conectarse con ningún equipo de la red 192.168.2.0/24 pero PC1 si. Y que ningún equipo de la red 10.0.1.0/8 no pueda conectar con el servidor excepto PC0
no ip access-list extended 100 ip access-list extended 100 permit tcp 10.0.1.10 0.0.0.0 192.168.02.10 0.0.0.0 eq 80 deny tcp 10.0.1.0 0.255.255.255 192.168.2.0 0.255.255.255
Established
Router(config)#ip access-list extended 100
Router(config-ext-macl)#permit tcp 10.0.1.0 0.255.255.255 host 192.168.2.10
Router(config-ext-macl)#permit tcp host 192.168.2.10 10.0.1.0 0.255.255.255 established
!La següent regla no és estrictament necessària però s’inclou aquí per explicitar
!que no es permeten conexions noves sorgides del servidor
Router(config-ext-macl)#deny tcp host 192.168.2.10 10.0.1.0 0.255.255.255
Router(config-ext-macl)#exit
! Representa que f0/1 és la interfície de la dreta
Router(config)#interface f0/1
Router(config-if)#ip access-group 100 in
a) ¿Els ordinadors de la xarxa 10.0.1.0/8 podran enviar "pings" a Server0? I a PC2? Per què?
b) ¿Els ordinadors de la xarxa 10.0.1.0/8 poden visitar les pàgines web oferides a Server0? Per què?
c) ¿L'ordinador Server0 pot enviar "pings" als de la xarxa 10.0.1.0/8? Per què? Prova-ho
d) ¿L'ordinador Server0 podria visitar les pàgines web oferides per un eventual servidor web que hi hagués funcionant a la xarxa 10.0.1.0/8? Per què?
e) ¿Què passaria si invertim l'ordre en escriure les línies permit... anteriors? Pots prova-ho si vols
f) ¿Què passaria si eliminem la línia ... deny ... ? Pots prova-ho si vols
Anti-spoofing
Consiste en que mediante reglas ACL evitar que una red envie al exterior paquetes con la dirección de origen no se suya y viceversa.
Router(config)#ip access-list standard 1 Router(config-std-nacl)#permit 192.168.2.0 0.255.255.255 Router(config-std-nacl)#exit Router(config)#ip access-list standard 2 Router(config-std-nacl)#deny 192.168.2.0 0.255.255.255 Router(config-std-nacl)#permit any Router(config-std-nacl)#exit Router(config)#interface f0/0 Router(config-if)#ip access-group 1 in Router(config-if)#exit Router(config)#interface f0/1 Router(config-if)#ip access-group 2 in Router(config-if)#exit
Creamos la lista act standard 1 y permitimos la conexión desde las redes 192.168.2.0 Creamos la lista acl standard 2 y denegamos las conexión desde las redes 192.168.2.0 Asignamos a la interfaz f0/0 la lista acl 1 Asignamos a la interfaz f0/1 la lista acl 2 De tal manera que se denegará el acceso a la red 192.168.2.0 por la interfaz f0/1 y se permitirá el acceso desde la interfaz f0/0.