La prima cosa da fare è definire l’indirizzo IP sorgente, che in questo caso è il 192.168.1.50 non autorizzato. Vorrai prima bloccare tutto il traffico da quell’indirizzo IP, cosa che puoi fare con una maschera jolly, che agisce come filtro all’interno di quel sottogruppo sorgente.
Puoi leggere tutto su come funzionano le maschere jolly in un altro post. In questo esempio, dovresti sapere che inserire 0.0.0.0 qui bloccherà ogni ottetto dell’indirizzo IP. In questo caso, ciò negherebbe ogni tentativo di accesso dalla subnet 192.168.1. L’esempio illustrato sopra ha solo un host, però. Se inserisci “host”, non c’è richiesta di maschera, e invece chiede una destinazione.
Impostazione della destinazione
Ora che la destinazione è identificata, è il momento di inserire la destinazione limitata. Nella sua forma attuale, questa ACL negherà tutto il traffico TCP tra 192.168.1.50 e 192.168.2.50. Ma tu non vuoi fare questo. Qui è dove la funzionalità specifica della porta diventa importante.
Con queste dichiarazioni, negherai alle porte l’accesso alla tua rete.
Router1# conf t
Router1(config)# access-list 150 deny tcp host 192.168.1.15 host 192.168.2.50 eq 80
Router1(config)# access-list 150 deny tcp host 192.168.1.15 host 192.168.2.50 eq 443
La prima dichiarazione blocca il target alla porta 80 di destinazione. La seconda istruzione ripete il processo per HTTPS, che è la porta 443. La parola chiave “EQ”, che significa uguale a, permetterà l’inserimento di porte specifiche.
Per controllare la lista, richiamate la lista (“Show Access List”), che restituirà le due nuove dichiarazioni.
Router1(config)#do sh access-list 150
Extended IP access list 150
10 deny tcp host 192.168.1.50 host 192.168.2.50 eq www
20 deny tcp host 192.168.1.50 host 192.168.2.50 eq 443
Il primo nega al primo host la connessione con il secondo usando la porta 80 (HTTP) e la seconda dichiarazione nega la stessa usando la porta 443 (HTTPS). L’ACL ora include le istruzioni necessarie. Ma la configurazione non è ancora finita e non è pronta per essere applicata ad un’interfaccia.
Negare il “Deny All”
Alla fine di ogni ACL, c’è una dichiarazione “Implicit DENY ALL”. Questa dichiarazione non appare nella configurazione o quando si esegue il comando “show access-list”. Ma è SEMPRE presente. “Quindi, se si aggiungono solo le due dichiarazioni di rifiuto di cui sopra, quella dichiarazione implicita di rifiuto bloccherà tutti gli accessi e causerà un’interruzione totale della rete. Per risolvere questo problema, l’ACL ha bisogno anche di una dichiarazione di permesso.
Salviamo la Access List 150 (il numero assegnato a questa lista) e aggiungiamo “Permit”. Configura il permesso per includere IP da qualsiasi sorgente a qualsiasi indirizzo di destinazione. Permettendo tutte le variazioni all’interno della dichiarazione, la funzione “deny all” viene annullata e non causa più quell’interruzione. Invece, solo le due dichiarazioni di negazione che hai creato saranno applicate, e tutto il resto del traffico sarà permesso.
Router1(config)#access-list 150 permit ip any
Router1(config)#do sh access-list 150
Extended IP access list 150
10 deny tcp host 192.168.1.50 host 192.168.2.50 eq www
20 deny tcp host 192.168.1.50 host 192.168.2.50 eq 443
30 permit ip any
Applicare l’ACL e determinare la direzione
Le migliori pratiche Cisco indicano che questa lista dovrebbe essere applicata il prima possibile nella sequenza. In questo caso, è al router 1. Nella console, inserite “int fa0/0” per l’interfaccia FastEthernet 0/0 e poi il comando “ip access-group”. Poi inserisci il numero della lista pertinente, che in questo caso è 150.
La console chiederà quindi “in” (pacchetto in entrata) o “out” (pacchetto in uscita), il che richiede di determinare la direzione. Il miglior consiglio possibile qui: sii il router. Immaginate che ognuno dei vostri bracci sia un’interfaccia, una FastEthernet 0/0 e una seriale 0/0, e chiedete da quale direzione proviene il traffico. In questo caso, il traffico sta arrivando dall’interfaccia, che in questo esempio indica che la voce finale di applicazione della lista di accesso dovrebbe essere “in”.
Router1(config)# int fa0/0
Router1(config-if)#ip access-group 150 in
Con la lista di accesso applicata, l’host 192.168.1.50 non sarà più in grado di raggiungere l’host 192.168.2.50 usando la porta 80 o 443, e il vostro lavoro è finito!
Corsi CBT Nuggets ACL
Il seguente corso di formazione CBT Nuggets del formatore Jeremy Cioara contiene due video (66 e 67) che coprono le liste di accesso in modo più dettagliato.
- Cisco CCENT/CCNA 100-105 ICND1
Vuoi saperne di più sulle liste di accesso sui router Cisco? Ecco Jeremy con più informazioni sull’argomento!