A primeira coisa que você quer fazer é definir o endereço IP de origem, que neste caso é o não autorizado 192.168.1.50. Primeiro você vai querer bloquear todo o tráfego desse endereço IP, o que você pode fazer com uma máscara curinga, que atua como o filtro dentro desse subgrupo de origem.
Você pode ler tudo sobre como as máscaras wildcard funcionam em outro post. Neste exemplo, você deve saber que digitar 0.0.0.0 aqui irá bloquear todos os octetos do endereço IP. Neste caso, isso negaria todas as tentativas de acesso a partir da subrede 192.168.1. O exemplo ilustrado acima tem apenas um host, no entanto. Se você digitar “host”, não há pedido de máscara, e em vez disso pede um destino.
Definindo o Destino
Agora o destino é identificado, é hora de inserir o destino restrito. Em sua forma atual, esta LCA negará todo o tráfego TCP entre 192.168.1.50 e 192.168.2.50. Mas você não quer fazer isso. É aqui que a funcionalidade específica da porta se torna importante.
Com estas instruções, você negará o acesso às portas da sua rede.
Router1# conf t
Router1(config)# access-list 150 deny tcp host 192.168.1.15 host 192.168.2.50 eq 80
Router1(config)# access-list 150 deny tcp host 192.168.1.15 host 192.168.2.50 eq 443
O primeiro comando bloqueia o alvo na porta 80 do destino. O segundo comando repete o processo para HTTPS, que é a porta 443. A palavra-chave “EQ”, que significa igual a, permitirá a entrada de portas específicas.
Para verificar a lista, chame a lista (“Show Access List”), que irá retornar os dois novos comandos.
Router1(config)#do sh access-list 150
Lista de acesso IP estendida 150
10 deny tcp host 192.168.1.50 host 192.168.2.50 eq www
20 deny tcp host 192.168.1.50 host 192.168.2.50 eq 443
O primeiro nega que o primeiro host se conecte com o segundo usando a porta 80 (HTTP) e o segundo nega o mesmo usando a porta 443 (HTTPS). O ACL agora inclui as instruções necessárias. Mas a configuração ainda não terminou, e não está pronta para ser aplicada a uma interface.
Negando a “Negar Tudo”
No final de cada ACL, há uma instrução ‘Implicit DENY ALL’. Esta declaração não aparece na configuração ou quando você executa o comando ‘show access-list’. Mas, ela está SEMPRE lá. “Então, se você adicionar apenas as duas declarações de negação cobertas acima, essa declaração de negação implícita irá bloquear todo o acesso e causar uma queda total da rede. Para corrigir isso, o ACL também precisa de uma declaração de permissão.
Bring up Access List 150 (o número atribuído a esta lista) e adicione “Permit”. Configure a licença para incluir IP de qualquer origem para qualquer endereço de destino. Ao permitir todas as variações dentro da declaração, a função “negar tudo” é anulada e não causa mais essa interrupção. Em vez disso, apenas as duas declarações de negação que você criou serão agora aplicadas, e todo o outro tráfego será agora permitido.
Router1(config)#access-list 150 allow ip any
Router1(config)#do sh access-list 150
Extended IP access list 150
10 deny tcp host 192.168.1.50 host 192.168.2.50 eq www
20 deny tcp host 192.168.1.50 host 192.168.2.50 eq 443
30 permit ip any
Aplicar o ACL e Determinar Direção
As melhores práticas da Cisco indicam que esta lista deve ser aplicada o mais cedo possível na seqüência. Neste caso, isso é no Router 1. No console, digite “int fa0/0” para a interface FastEthernet 0/0 e depois o comando “ip access-group”. Depois digite o número da lista relevante, que neste caso é 150.
O console irá então consultar “in” (pacote de entrada) ou “out” (pacote de saída), o que requer a determinação da direção. O melhor conselho possível aqui: seja o roteador. Imagine que cada um de seus braços é uma interface, uma FastEthernet 0/0 e uma serial 0/0, e pergunte de qual direção o tráfego está vindo. Neste caso, o tráfego está vindo na interface, o que neste exemplo indica que a entrada final de aplicação da lista de acesso deve ser “in”.
Router1(config)# int fa0/0
Router1(config-if)#ip access-group 150 in
Com a lista de acesso aplicada, o host 192.168.1.50 não poderá mais alcançar o host 192.168.2.50 usando a porta 80 ou 443, e seu trabalho está feito!
Cursos CBT Nuggets ACL
O seguinte curso de formação CBT Nuggets do formador Jeremy Cioara contém dois vídeos (66 e 67) que cobrem as listas de acesso em mais detalhe.
- Cisco CCENT/CCNA 100-105 ICND1
Quer saber mais sobre as listas de acesso nos routers Cisco? Aqui está Jeremy com mais sobre o assunto!