Lo primero que debe hacer es definir la dirección IP de origen, que en este caso es la no autorizada 192.168.1.50. Primero querrás bloquear todo el tráfico de esa dirección IP, lo que puedes hacer con una máscara comodín, que actúa como el filtro dentro de ese subgrupo de origen.
Puedes leer todo sobre cómo funcionan las máscaras comodín en otro post. En este ejemplo, debes saber que al introducir 0.0.0.0 aquí se bloquearán todos los octetos de la dirección IP. En este caso, eso denegaría todos los intentos de acceso desde la subred 192.168.1. Sin embargo, el ejemplo ilustrado arriba sólo tiene un host. Si introduces «host», no hay petición de máscara, y en su lugar se pide un destino.
Configurar el destino
Ahora que el objetivo está identificado, es el momento de introducir el destino restringido. En su forma actual, esta ACL denegará todo el tráfico TCP entre 192.168.1.50 y 192.168.2.50. Pero no quieres hacer eso. Aquí es donde la funcionalidad específica del puerto se vuelve importante.
Con estas declaraciones, usted negará el acceso de los puertos a su red.
Router1# conf t
Router1(config)# access-list 150 deny tcp host 192.168.1.15 host 192.168.2.50 eq 80
Router1(config)# access-list 150 deny tcp host 192.168.1.15 host 192.168.2.50 eq 443
La primera declaración bloquea el objetivo en el puerto 80 del destino. La segunda sentencia repite el proceso para HTTPS, que es el puerto 443. La palabra clave «EQ», que significa igual a, permitirá la entrada de puertos específicos.
Para comprobar la lista, llame a la lista («Show Access List»), que devolverá las dos nuevas declaraciones.
Router1(config)#do sh access-list 150
Lista de acceso IP extendida 150
10 deny tcp host 192.168.1.50 host 192.168.2.50 eq www
20 deny tcp host 192.168.1.50 host 192.168.2.50 eq 443
La primera deniega al primer host la conexión con el segundo utilizando el puerto 80 (HTTP) y la segunda declaración deniega lo mismo utilizando el puerto 443 (HTTPS). La ACL incluye ahora las instrucciones necesarias. Pero la configuración no ha terminado, todavía, y no está lista para ser aplicada a una interfaz.
Negando el «Deny All»
Al final de cada ACL, hay una declaración ‘Implicit DENY ALL’. Esta declaración no aparece en la configuración o cuando se ejecuta el comando ‘show access-list’. Pero, SIEMPRE está ahí. «Por lo tanto, si sólo añades las dos declaraciones de denegación mencionadas anteriormente, esa declaración de denegación implícita bloqueará todos los accesos y causará una interrupción total de la red. Para solucionar esto, la ACL necesita también una sentencia permit.
Acceda a la lista de acceso 150 (el número asignado a esta lista) y añada «Permit». Configure el permiso para incluir IP de cualquier origen a cualquier dirección de destino. Al permitir todas las variaciones dentro de la declaración, la función «deny all» se anula y ya no causa esa interrupción. En su lugar, ahora sólo se aplicarán las dos declaraciones de denegación que ha creado, y todo el resto del tráfico estará permitido.
Router1(config)#lista de acceso 150 permit ip any any
Router1(config)#do sh access-list 150
Lista de acceso IP extendida 150
10 deny tcp host 192.168.1.50 host 192.168.2.50 eq www
20 deny tcp host 192.168.1.50 host 192.168.2.50 eq 443
30 permit ip any
Aplicación de la ACL y determinación de la dirección
Las mejores prácticas de Cisco indican que esta lista debe aplicarse lo antes posible en la secuencia. En este caso, eso es en el router 1. En la consola, introduzca «int fa0/0» para la interfaz FastEthernet 0/0 y luego el comando «ip access-group». A continuación, introduzca el número de lista correspondiente, que en este caso es 150.
La consola consultará entonces «in» (paquete de entrada) o «out» (paquete de salida), lo que requiere determinar la dirección. El mejor consejo posible en este caso: ser el router. Imagina que cada uno de tus brazos es una interfaz, una FastEthernet 0/0 y una serial 0/0, y pregunta de qué dirección viene el tráfico. En este caso, el tráfico viene en la interfaz, lo que en este ejemplo indica que la entrada final de aplicar la lista de acceso debe ser «in».
Router1(config)# int fa0/0
Router1(config-if)#ip access-group 150 in
Con la lista de acceso aplicada, el host 192.168.1.50 ya no podrá alcanzar el host 192.168.2.50 usando el puerto 80 o 443, ¡y su trabajo está hecho!
Cursos de ACL de CBT Nuggets
El siguiente curso de formación de CBT Nuggets impartido por el formador Jeremy Cioara contiene dos vídeos (66 y 67) que cubren las listas de acceso con más detalle.
- Cisco CCENT/CCNA 100-105 ICND1
¿Quieres aprender más sobre las listas de acceso en los routers Cisco? Aquí está Jeremy con más información sobre el tema.