gilsonf
Número de Mensagens : 16 Idade : 36 Localização : Espirito Santo Reputação : 0 Pontos : 24 Data de inscrição : 19/01/2011
| Assunto: Ajuda - Criando ACL Sex Jan 20, 2012 2:36 pm | |
| Boa tarde...
Senhores..
Preciso de ajuda para configurar um ACL..sou um pouco leigo nesse sentido, mais sei alguma coisa sobre o contexto de uso delas...
Bom..vamos la...
Tenho uma rede interna 172.16.0.0 / 16.
o Router em questão com IP 172.16.0.254
..preciso liberar acesso apenas na porta 80 e 443 para esse router na rede interna, tudo que seja diferente disso terá que ser bloqueado....
Pensei no seguinte....
access-list 101 permit tcp172.16.0.254 0.0.0.255 eq 80 access-list 101 permit tcp172.16.0.254 0.0.0.255 eq 443 access-list 101 deny ip any any
...por ser tratar de um ambiente de produção...gostaria da avaliação dos senhores...sobre a acl esta certa ou n...
Pretendo aplicar a mesma na porta em que o router esta ligado.
| |
|
marcelosguerra Admin
Número de Mensagens : 81 Idade : 41 Localização : Sao Paulo - SP Reputação : 16 Pontos : 80 Data de inscrição : 24/07/2007
| Assunto: Re: Ajuda - Criando ACL Sáb Jan 21, 2012 12:07 pm | |
| Olá Gilsonf, tudo bem?
ACL é bem poderoso quando bem aplicada, mas pode ser bem destrutivo também, por isso, para tentarmos melhor ajuda-lo, precisamos entender o motivo e sua topologia.
- Depois que você bloquear tudo, como você acessará este roteador? somente console? - Que conexões estão neste roteador(Lan, Wan)? - Onde está este router? é o único roteador da empresa? - Este roteador é para saída internet: Wan <--> Router <---> LAN/16 - Notei que a LAN é /16 então: 0.0.255.255.
Caso possível detalhe o problema, que o pessoal tentará ajudar. Abraços!
Sds, Marcelo Guerra
| |
|
gilsonf
Número de Mensagens : 16 Idade : 36 Localização : Espirito Santo Reputação : 0 Pontos : 24 Data de inscrição : 19/01/2011
| Assunto: Re: Ajuda - Criando ACL Seg Jan 23, 2012 8:54 am | |
| - marcelosguerra escreveu:
- Olá Gilsonf, tudo bem?
ACL é bem poderoso quando bem aplicada, mas pode ser bem destrutivo também, por isso, para tentarmos melhor ajuda-lo, precisamos entender o motivo e sua topologia.
- Depois que você bloquear tudo, como você acessará este roteador? somente console? - Que conexões estão neste roteador(Lan, Wan)? - Onde está este router? é o único roteador da empresa? - Este roteador é para saída internet: Wan <--> Router <---> LAN/16 - Notei que a LAN é /16 então: 0.0.255.255.
Caso possível detalhe o problema, que o pessoal tentará ajudar. Abraços!
Sds, Marcelo Guerra
O router e de terceiro... de fato errei a mascara da acl...rs - Depois que você bloquear tudo, como você acessará este roteador? somente console? Não, vai passar apenas trafego na porta 80 e 443. - Que conexões estão neste roteador(Lan, Wan)? as duas...Serial e fast.. - Onde está este router? é o único roteador da empresa?não se aplica...e um router que faz vpn e um link dedidaco... - Este roteador é para saída internet: Wan <--> Router <---> LAN/16 - - Notei que a LAN é /16 então: 0.0.255.255. - isso..errei... | |
|
gilsonf
Número de Mensagens : 16 Idade : 36 Localização : Espirito Santo Reputação : 0 Pontos : 24 Data de inscrição : 19/01/2011
| Assunto: Re: Ajuda - Criando ACL Seg Jan 23, 2012 9:25 am | |
| Seque a acl que eu apliquei...porem ao aplicar eu não consigo pingar o router .
access-list 101 permit tcp 172.16.0.0 0.0.255.255 host 172.16.0.254 eq www access-list 101 permit tcp 172.16.0.0 0.0.255.255 host 172.16.0.254 eq 443 access-list 101 permit tcp host 172.16.0.254 172.16.0.0 0.0.255.255 eq www access-list 101 permit tcp host 172.16.0.254 172.16.0.0 0.0.255.255 eq 443
ip access-group 101 in - aplica na porta do switch em que o router esta ligado. | |
|
fernando.pereira
Número de Mensagens : 1 Idade : 38 Localização : São Caetano do Sul Reputação : 0 Pontos : 4 Data de inscrição : 26/01/2012
| Assunto: Re: Ajuda - Criando ACL Qui Jan 26, 2012 3:03 pm | |
| - gilsonf escreveu:
- Seque a acl que eu apliquei...porem ao aplicar eu não consigo pingar o router .
access-list 101 permit tcp 172.16.0.0 0.0.255.255 host 172.16.0.254 eq www access-list 101 permit tcp 172.16.0.0 0.0.255.255 host 172.16.0.254 eq 443 access-list 101 permit tcp host 172.16.0.254 172.16.0.0 0.0.255.255 eq www access-list 101 permit tcp host 172.16.0.254 172.16.0.0 0.0.255.255 eq 443
ip access-group 101 in - aplica na porta do switch em que o router esta ligado. Boa tarde, Na lista aplicada você liberou somente 80 e 443. Mesmo você não aplicando o Deny no final da lista ele é implícito negando tudo. Se a idéia é liberar o ping da sua rede interna para o router 172.16.0.254 tente com o script abaixo: access-list 101 permit tcp 172.16.0.0 0.0.255.255 host 172.16.0.254 eq www access-list 101 permit tcp 172.16.0.0 0.0.255.255 host 172.16.0.254 eq 443 access-list 101 permit tcp host 172.16.0.254 172.16.0.0 0.0.255.255 eq www access-list 101 permit tcp host 172.16.0.254 172.16.0.0 0.0.255.255 eq 443 access-list 101 permit icmp 172.16.0.0 0.0.255.255 host 172.16.0.254 access-list 101 deny ip any any Caso seja necessário liberar mais algum endereço ou porta coloque antes da última linha. Abraço. | |
|
Conteúdo patrocinado
| Assunto: Re: Ajuda - Criando ACL | |
| |
|