miércoles, 15 de diciembre de 2010

Access List: Estándar y Extendida

Las listas de acceso permiten o niegan servicios, redes o una ip específica para que ingrese o salga de su LAN local, según en la interfaz donde se aplique.

Las ACL Estándar bloquean o permiten el origen. Sus números de identifiación pueden ir desde el 1 al 99; mientras que las ACL Extendidas bloquean o permiten origen, destino, protocolo y puerto, sus número de identificación van desde el 100 hasta el 199.

Pasos a seguir:

1. Creación de una ACL:

R0(config)#access-list 1 permit 10.10.10.2 0.0.0.0

**en este caso se utiliza la wilcard 0.0.0.0 para fijar la dirección ip**

2. Aplicar la ACL

**Se puede aplicar en una interfaz FastEthernet o Serial como entrada o salida**

R0(config)#interface fastethernet 0/0
R0(config-if)#ip access-group 1 in (como entrada)

R0(config-if)#ip access-group 1 out (como salida)


En el caso de las ACL extendidas tenemos que ingresar más datos:


R0(config)#access-list 101 deny tcp 10.10.10.2 host 30.30.30.11 eq 20
R0(config)#access-list 101 deny tcp 10.10.10.2 host 30.30.30.11 eq 21
R0(config)#access-list 101 permit tcp 10.10.10.2 host 30.30.30.11 eq 80

**en este caso debemos ingresar en el comando la red o host de origen y luego el de destino para finalizar con "eq" y el puerto del servicio que queramos bloquear o permitir, en el ejemplo denegamos ftp, pero permitimos http. Luego debes aplicar la ACL en una interfaz de entrada o salida.

Algunos puertos de protocolos más usados:

20 TCP FTP
21 TCP FTP
22 TCP SSH
23 TCP TELNET
25 TCP SMTP
53 TCP DNS
53 UDP DNS
80 TCP HTTP
110 TCP POP3


Es necesario destacar dos comando:

ACCESS-LIST "1" DENY ANY
**se encuentra por defecto**

ACCESS-LIST "101" PERMIT IP ANY ANY
**para permitir todo**

2 comentarios:

Entradas populares