Skip to main content

Práctica ACL en Router

ACL

Router2.png

  • Interfaz izquierda: 10.0.1.0/8
  • Interfaz derecha: 192.168.2.0/24
  • Servidor HTTP: 192.168.2.10/24

Denegar acceso de una red a un equipo

ip  access-list extended 100
deny tcp 10.0.1.0 0.0.0.255 192.168.2.10 0.0.0.0

PC0 no puede conectar con HTTP pero PC1 si

ip access-list extended 100
permit tcp 10.0.1.11 0.0.0.0 192.168.2.10 0.0.0.0 eq 80

Ver los permisos

Router#show ip access-list 
Standard IP access list n1
Extended IP access list 100
10 deny tcp 10.0.1.0 0.0.0.25 host 192.168.2.10
20 deny tcp 10.0.1.0 0.0.0.255 host 192.168.2.10
30 permit tcp host 10.0.1.11 host 192.168.2.10 eq www

Borrar Regla Anterior

Borramos la regla anterior y hacemos una nueva: Que PC0 no pueda conectarse con ningún equipo de la red 192.168.2.0/24 pero PC1 si. Y que ningún equipo de la red 10.0.1.0/8 no pueda conectar con el servidor excepto PC0

no ip access-list extended 100
ip access-list extended 100
permit tcp 10.0.1.10 0.0.0.0 192.168.02.10 0.0.0.0 eq 80
deny tcp 10.0.1.0 0.255.255.255 192.168.2.0 0.255.255.255

Established

Router(config)#ip access-list extended 100

Router(config-ext-macl)#permit tcp 10.0.1.0 0.255.255.255 host 192.168.2.10

Router(config-ext-macl)#permit tcp host 192.168.2.10 10.0.1.0 0.255.255.255 established

!La següent regla no és estrictament necessària però s’inclou aquí per explicitar

!que no es permeten conexions noves sorgides del servidor

Router(config-ext-macl)#deny tcp host 192.168.2.10 10.0.1.0 0.255.255.255

Router(config-ext-macl)#exit

! Representa que f0/1 és la interfície de la dreta

Router(config)#interface f0/1

Router(config-if)#ip access-group 100 in


a) ¿Els ordinadors de la xarxa 10.0.1.0/8 podran enviar "pings" a Server0? I a PC2? Per què?


Debido a que solo tenenmos permitimos las conexiones entrantes desde la red 10 a la red 192 sobre el protocolo TCP. Los paquetes nunca llegarán a destino.


Y como únicamente el servidor tiene permitido las respuestas a las peticiones de la red 10


b) ¿Els ordinadors de la xarxa 10.0.1.0/8 poden visitar les pàgines web oferides a Server0? Per què?


Si que pueden visitar las páginas web ya que el protocolo http es un protocolo tcp y con la configuración actual, esta permitido.


c) ¿L'ordinador Server0 pot enviar "pings" als de la xarxa 10.0.1.0/8? Per què? Prova-ho


No puede ya solo están permitidas las repuestas en las conexiones previamente establecidas desde la 10 hacia 192, un petición de ping del servidor hacia cualquier equipo de la red 10 esta denegada.


d) ¿L'ordinador Server0 podria visitar les pàgines web oferides per un eventual servidor web que hi hagués funcionant a la xarxa 10.0.1.0/8? Per què?


No no puede visitar las páginas ya que únicamente permitimos la salida de las peticiones o respuestas del servidor.


e) ¿Què passaria si invertim l'ordre en escriure les línies permit... anteriors? Pots prova-ho si vols


f) ¿Què passaria si eliminem la línia ... deny ... ? Pots prova-ho si vols


Pienso que no pasaría nada si invertiesemos el orden de las sentencias permit ya que las dos estas permitiendo una conexión con diferentes caminos.


Si eleminamos la lína deny, tampoco sucedería nada ya que la línea deny hace lo mismo que el permit con el established. El servidor unicamente respondará a peticiones o conexiones establecidas.

Anti-spoofing

Consiste en que mediante reglas ACL evitar que una red envie al exterior paquetes con la dirección de origen no se suya y viceversa.

Router(config)#ip access-list standard 1
Router(config-std-nacl)#permit 192.168.2.0 0.255.255.255
Router(config-std-nacl)#exit
Router(config)#ip access-list standard 2
Router(config-std-nacl)#deny 192.168.2.0 0.255.255.255
Router(config-std-nacl)#permit any
Router(config-std-nacl)#exit
Router(config)#interface f0/0
Router(config-if)#ip access-group 1 in
Router(config-if)#exit
Router(config)#interface f0/1
Router(config-if)#ip access-group 2 in
Router(config-if)#exit


Creamos la lista act standard 1 y permitimos la conexión desde las redes 192.168.2.0 Creamos la lista acl standard 2 y denegamos las conexión desde las redes 192.168.2.0 Asignamos a la interfaz f0/0 la lista acl 1 Asignamos a la interfaz f0/1 la lista acl 2 De tal manera que se denegará el acceso a la red 192.168.2.0 por la interfaz f0/1 y se permitirá el acceso desde la interfaz f0/0.