Você está na página 1de 7

Capitulo 5: ACL - ACCESS CONTROL LIST

1. REGRAS GERAIS:

1.1 ACLs so um conjunto de regras composto por instrues de permisso ou negao.
1.2 Essas regras so lidas de forma seqencial, de cima para baixo.
1.3 As ACLs PADRO verificam apenas o endereo de origem dos pacotes (IP da rede de
origem ou host de origem).
1.4 As ACLs ESTENDIDAs verificam o endereo de origem e de destino, alm dos
protocolos da camada superior.
1.5 Uma ACLs por interface, por protocolo e por direo.
1.6 ACLs PADRO devem ser aplicadas o mais prximo do destino dos pacotes.
1.7 ACLs ESTENDIDAS devem se aplicadas o mais prximo da origem dos pacotes.
1.8 O sentido que uma ACL aplicada a uma interface determina qual sentido do fluxo deve
ser analisado: IN (entrada de dados) ROUTER OUT (sada de dados).
1.9 A ordem das regras dentro de um ACL muito importante.
1.10 Ao verificar uma instruo, se o resultado for negativo (no coincidir) a prxima
instruo verificada. Se o resultado for positivo (coincidir) a instruo executada e as
demais so ignoradas.
1.11 Ao final de toda ACL existe um DENY implcito (no escrito) que bloqueia todo o
trfego que no coincidiu com qualquer uma das regras.
1.12 Antes de aplicar um ACL, certifique-se de que a conectividade entre os dispositivos
esteja em total funcionamento.
2. TIPOS DE ACLs:
2.1 ACL NUMERADAS PADRO (1-99)
Exemplo: access-lis 10 permit 192.168.30.0 0.0.0.255
access-lis 10 deny host 192.168.30.10

2.2 ACL NUMERADA ESTENDIDA (100-199)
Exemplo: access-list 103 permit tcp 192.168.30.0 0.0.0.255 any eq 80

2.3 ACL NOMEADAS PADRO e ESTENDIDA (O nome substituiu o nmero)
Exemplo: ip access-list extended NAVEGAR
permit tcp 192.168.30.0 0.0.0.255 any eq 80


3. MASCARA CURINGA
Bits de mscara com valor 0 verificar
Bits de mscara com valor 1 no verificar
Exemplos:
172.28.33.100 0.0.0.0 = corresponder a todos os bits
0.0.0.0 255.255.255.255 = ignora todos os bits
172.28.33.100 0.0.0.255 = ignora o ultimo octeto

OBS:
A palavra HOST substitui a mascara 0.0.0.0
A palavra ANY substitui o IP 0.0.0.0 com mascara 255.255.255.255

4. CRIANDO ACLs
Etapa 1. Dentro do modo de configurao global, criar uma lista de acesso especificando o
nmero da lista.


Sintaxe ACL Padro:
Router(config)#access-list access-list-number [deny | permit | remark] source [source-
wildcard] [log]

Sintaxe ACL Estendida:
Router(config)#access-list access-list-number [deny | permit | remark] protocol source
[source-wildcard] operator port destination [destination-wildcard] operator port
[established]


Etapa 2. Dentro da interface de interesse, aplicar a ACL especificando o sentido a ser filtrado.

Router(config-if)#ip access-group access-list-number {in| out}











5. EXERCICIOS
















5.1 Bloqueie o acesso do host 192.168.0.100 a rede 10.0.0.0. O acesso ao servidor deve ser
mantido.

5.2 Permita o acesso do host 192.168.0.200 via Telnet ao roteador.

5.3 Bloqueie o acesso http do host 192.168.0.100 ao servidor e permita o ping.























RESPOSTAS

5.1
access-list 10 deny host 192.168.0.100
access-list 10 permit any

interface fast 0/1
ip access-group 10 out

5.2
access-list 100 permit tcp host 192.168.0.200 any eq 23
access-list 100 deny tcp any any eq 23
access-list 100 permit ip any any

interface eth 0/0/0
ip access-group 100 in

5.3
Ser necessrio acrescentar as prximas duas linhas a ACL 100 j existente:

access-list 100 deny tcp host 192.168.0.100 host 172.27.2.10 eq 80
access-list 100 permit tcp any host 172.27.2.10 eq 80














6. EXERCICIOS

OBS: Apenas desenvolva as ACLs, no necessrio montar a topologia acima.

6.1. Para a rede 192.168.10.0/24, bloqueie o acesso Telnet a todos os locais e o acesso TFTP
para o servidor Web/TFTP corporativo em 192.168.20.254. Todos os demais acessos so
permitidos.

6.2. Para a rede 192.168.11.0/24, permita o acesso TFTP e o acesso Web para o servidor
Web/TFTP em 192.168.20.254. Bloqueie os demais trfegos da rede 192.168.11.0/24 para a
rede 192.168.20.0/24. Todos os demais acessos so permitidos.



Respostas:
6.1
Access-list 110 deny tcp 192.168.10.0 0.0.0.255 any eq telnet
Access-list 100 deny udp 192.168.10.0 0.0.0.255 host 192.168.20.254 eq tftp
Access-lis 100 permit ip any any

6.2
Access-list 111 permit udp 192.168.11.0 0.0.0.255 host 192.168.20.254 eq tftp
Access-list 111 permit tcp 192.168.11.0 0.0.0.255 host 192.168.20.254 eq WWW
Access-list 111 deny ip 192.168.11.0 0.0.0.255 192.168.20.0 0.0.0.255
Access-list 111 permit ip any any