jump to navigation

Proceso de configuración de ACLnoviembre 3, 2006



El proceso de creación de una ACL se lleva a cabo creando la lista y posteriormente asociándola a una interfaz entrante o saliente.
Configuración de ACL estándar

Router(config)#access-list[1-99][permit|deny][dirección de origen][mascara comodín]

Donde:

1-99 Identifica el rango y la lista.

Permit|deny indica si esta entrada permitirá o bloqueará el tráfico a partir de la dirección especificada.

Dirección de origen  identifica la dirección IP de origen.

Mascara comodín o wildcard identifica los bits del campo de la dirección que serán comprobados.

La mascara predeterminada es 0.0.0.0 (coincidencia de todos los bits).
Asociación de la lista a una interfaz

Router(config-if)#ip access-group[nº de lista de acceso][in|out]

Donde:

Número de lista de acceso indica el número de lista de acceso que será aplicada a esa interfaz.

In|out selecciona si la lista de acceso se aplicará como filtro de entrada o de salida.
Ejemplo de una ACL estándar denegando una red:

Router#configure terminal
Router(config)#access-list 10 deny 192.168.1.0 0.0.0.0
Router(config)#access-list 10 permit any
Router(config)#interface serial 0
Router(config-if)#ip access-group 10 in

Se ha denegado al host 192.168.1.0 y luego se ha permitido a cualquier origen,
Posteriormente se asocio la ACL a la interfaz Serial 0.
Configuración de ACL extendida

El proceso de configuración de una ACL IP extendida es el siguiente:

Router(config)#access-list[100-199][permit|deny][protocol][dirección de origen][mascara comodín][dirección de destino][mascara de destino][puerto][establisehed][log]
100-199 identifica el rango y número de lista
Permit|deny: indica si la entrada permitirá o bloqueara la dirección especificada.
Protocolo: como por ejemplo IP, TCP, UDP, ICMP

Dirección origen y destino: identifican direcciones IP de origen y destino.

Mascara wildcard origen y mascara destino: Son las mascaras comodín. Las 0 indican las posiciones que deben coincidir, y los 1 las “que no importan”.

Puerto:(opcional) puede ser por ejemplo: lt (menor que), gt (mayor que), eq (igual a), o neq (distinto que) y un número de puerto de protocolo correspondiente.

Establisehed: (opcional) Se usa solo para TCP de entrada. Esto permite que él rafico TCP pase si el paquete utiliza una conexión ya establecida (por ejemplo posee un conjunto de bits ACK)

Log: (opcional) Envía un mensaje de registro a la consola a un servidor syslog determinado.

Algunos de los números de puertos más conocidos:

20 Datos del protocolo FTP
21 FTP
23 Telnet
25 SMTP
69 TFTP
53 DNS

 

Asociación de la lista a una interfaz

Router(config-if)#ip access-group[nº de lista de acceso][in|out]

Donde:

Número de lista de acceso indica el número de lista de acceso que será aplicada a esa interfaz.

In|out selecciona si la lista de acceso se aplicará como filtro de entrada o de salida.

 

Ejemplo de una ACL Extendida denegando un host hacia el puerto 80 de una red:

Router(config)#access-list 120 deny tcp host 204.204.10.1  any eq 80
Router(config)#access-list 120 permit ip any any
Router(config)#interface serial 1
Router(config-if)#ip access-group 120 in

Se ha denegado al host 204.204.10.1, (identificándolo con la abreviatura “host”) hacia el puerto  80 de cualquier red de destino (usando el termino any). Posteriormente se permite todo trafico IP. Esta ACL se asocio a la interfaz Serial 1 como entrante.
Aplicación de una ACL a la linea de telnet

Para evitar intrusiones no deseadas en las conexiones de telnet se puede crear una
lista de acceso estándar y asociarla a la Line VTY. El proceso de creación se lleva a cabo como una ACL estándar denegando o permitiendo un origen hacia esa interfaz. El modo de asociar la ACL a la Línea de telnet es el siguiente:

router(config)#line vty 0 4
router(config-line)#access-class[Nº de lista de acceso][in|out]

 

Como eliminar las listas de acceso

Desde el modo interfaz donde se aplico la lista:

Router(config-if)#no ip access-group[Nº de lista de acceso]

Desde el modo global elimine la ACL

router(config)#no access-list[Nº de lista de acceso]

Sí el material de este post te ha sido de utilidad colabora y difúndelo. Visita a nuestros anunciantes para que sigamos vigentes y podamos seguir adelante.
Este blog no persigue fines económicos, sin embargo necesitamos de la publicidad para que podamos seguir adelante. Visita a nuestros anunciantes para que sigamos vigentes y podamos seguir en marcha. A ti no te costará nada y a nosotros nos será de gran ayuda.







Aprenderedes.com fue creado con fines educativos, NO responderé consultas técnicas ni fuera del temario CCNA.»

1. Erick Flores - octubre 27, 2008

Mestro Ernesto, tengo un problema con la colocacion de las ACL, coloque una ACL en un Router de esta manera.
Croquis:
(RIP V1)
|——192.268.1.0—— ROUTER ——-192.168.2.0——|
E0 E1

access-list 101 deny ip host 192.168.2.3 192.168.1.0 0.0.0.255
access-list 101 permit ip any any

interface ethernet 0/1
ip access-group 101 in

Esta ACL de hecho no permite que el host 192.168.2.3 salga de la sub red 192.168.2.0, pero, ¿porque cuando trato de hacer ping del host 192.168.1.3 al host 192.168.2.3 no lo hace?, no entiendo si estoy filtrando es trafico de entrada en el puerto ethernet 0/1 y ademas estoy utilizando una ACL Extendida con dir. origen y destino.
Lo probe con el Packet Tracer 5.0.

2. Ernesto Ariganello - octubre 27, 2008

Erick, el ping si funciona lo que no llega es la respuesta, debes permitir el “echo-reply” para que esta sea permitida.

access-list 101 permit icmp any any echo-reply
access-list 101 deny ip host 192.168.2.3 192.168.1.0 0.0.0.255
access-list 101 permit ip any any

o permiti icmp completo

access-list 101 permit icmp any any
access-list 101 deny ip host 192.168.2.3 192.168.1.0 0.0.0.255
access-list 101 permit ip any any

Un saludo

3. Erick Flores - octubre 28, 2008

Muchisimas gracias Ernesto, ya entendi.

4. Carlo Gonzalez - octubre 30, 2008

Hola señor Ernesto Ariganello, muy buena la pagina, y muy facil de entender el proceso de ACL, pero tengo una pregunta, o mas bien, un ejercicio que aun no logro entender. El ejercicio es el siguiente:
1- Denegar de los 15 primeros host, solo los pares de las SR1 10.0.1.0 el acceso a la SR4 10.0.4.0

2- Denegar de los primeros 79 host solo los impares de la SR1 10.0.1.0, el acceso a la SR 5 10.0.5.0

Agradeceria mucho,cualquier ayuda que me de en este ejercicio, desde ya mis más profundos agradecimientos.

5. Eligio Flores - noviembre 12, 2008

Hola, un saludo a todos. Y felicidades sr. Ernesto este gran sitio.
Tengo un pequeño problema al momento de aplicar ACLs a un router cisco 1750. Este router esta conectado a un switch por su fastethernet y al swithc tengo tambien conectado un router linksys para compartir el internet con la direccion 10.30.55.3, mi idea es usar el 1750(10.30.55.5) para solo permitir el acceso a internet a ciertas paginas. Tengo una ruta estatica por default que todo lo que entre por el 1750(10.30.55.5) lo mande al 10.30.55.3 hasta aqui esta bien todo todas mis pcs entrar a internet libremente. Aplico esta ACL por ejemplo:

access-list 102 permit ip any host 74.125.95.104
ip access-group 102 out —->en la FastE 0

Esto para que solo las pcs entren a ese sitio q es el de gogle y al poner la direccion en el explorador no entra, pero si ledoy un ping a http://www.google.com me responde y mas aun su en vez de poner el dominio pongo la direccion ip en el explorardor entra. Gracias de antemano por los comentarios.

6. juan pablo - noviembre 12, 2008

hola ernetsto, gracias de antemano por tu colaboracion al exponer esta pagina que es bastante exlicativa.
quisiera consultar como puedo probar si realmante funciona una lista de acceso EXTENDIDA cuando trabajo en un simulador como el Bosom Net sim, ya que en las listas de acceso extendidas que configuré, realmente no pude comprobar si funcionan o no, es decir no supe si la informacion se filtra o no se filtra y como se comprueba, gracias por ayudar a personas como nosotros los que te escribimos que realmente queremos aprender.

7. Ernesto Ariganello - noviembre 13, 2008

Hola Juan Pablo, no se que posibilidades brinda ese simulador, en otros se puede (creo) simular web, tftp y otros puertos. Prueba con el Packet Tracer.

Un saludo

8. Dario =P - diciembre 5, 2008

a alguien le vi que pregunto por como filtrar los pares o los impares.
mira, si tienes por ejemplo la red 172.20.112.0 y quieres los pares seria con la wildcard 0.0.0.254 y para los impares debes poner en la ACL 172.20.112.1 con la will 0.0.0.254.
Analiza esto recuerda que el ultimo bit si es 1 es impar si es 0 es par, es por ello que solo me corro un host.

xD no soy muy bueno explicando pero eso funciona.

9. Richardson - diciembre 11, 2008

Hola Ernesto

quisiera saber si podrias ayudarme con un ejercicio de ACL

tengo que permitir el acceso a los primeros 20 host de la red 100.128.128.0 /25 y no tengo idea de como hacerlo.

agradeceria mucho si me pudieras explicar como realizar el ejercicio.

Saludos!

10. banito!!!! - enero 13, 2009

M e parece muy completa la informacion que presentan pero si quiero bloquear varias acls es decir solo un bloque como de la 200.31.15.131 ala 200.31.15.140, ¿com se hace?

11. CESAR18 - junio 12, 2009

hola Ernesto tengo un problema con las ACLs tengo 2 redes diferentes con ospf, en una de las redes tengo 2 clientes y un serverubuntu y en la otra un cliente xp un cliente ubuntu y server2008 ¿COMO HAGO PARA QUE SOLO SE PERMITA EL ACCESO ENTRE LOS DOS SERVIDORES Y DENEGAR EL ACCESO DE LOS CLIENTES DE LAS 2 REDES?

12. ernesto - junio 13, 2009

Cesar18, simplemente permite las IP de los servidores y deniega el resto. Si es necesario filtra puertos.

S2

13. Enrique morales - agosto 7, 2009

Sr ernesto es mi maestro gracias es un genio en sto saludos. y gracias por compartir sus conocimientos con todos

14. ivan cespedes - noviembre 16, 2009

Hola Ernesto mucho respeto a tus conocimientos. Me gustaría saber si me puedes hacer el favor de explicarme un poco la utilización de “icmp any any echo-reply” y en sí que hace o qué función tiene el “echo-reply” respecto a ICMP. Necesito solucionar esta duda pronto, gracias.

15. ivan cespedes - noviembre 16, 2009

Hola Ernesto, bueno estuve investigando un poco y llegue a una conclusión pero no sé si es acertada entonces me gustaría saber qué opinas?

Si utilizo el “echo-replay” es como decir “no salga” o en caso contrario “salga”.

Si utilizo el “echo” es “no entre” o en caso contrario “entre”.

Por ejemplo si quiero permitir que entre un ping a la red pero que no salga seria:

access-list 101 permit icmp any any echo
access-list 101 deny icmp any any echo-reply

Bueno me gustaría saber si tengo razón gracias!!!

16. MARCOS ARGUELLES - noviembre 19, 2009

hola a todos me ha gustado mucho la informacion y la entiendo bien solo que tengo una duda por ejemplo en la escuela me estan enseñando a bloquear solo las ip nones o ip pares de una cierta red lo que no entiendo es como cambiar la wilcard mask espero pronto encontra respuesta saludos y gracia snuevamente por la informacion

17. Diegox - noviembre 30, 2009

excelente! gran pagina.. te felicito falta gente como tu en este rubro

DXS

18. anibal!!!! - diciembre 11, 2009

esta buenisimo!!!!

19. Jose Tapia - diciembre 12, 2009

gracia excelente, de verdad gracias por tu interes por compartir lo que sabes

20. Edgar Rodolfo - diciembre 16, 2009

gracias amigo, gracias por compartir y hacer q otras personas q soñamos con ccna podamos aprender de ti, saludos from peru edgar rodolfo…

21. jean - abril 14, 2010

Buenas noches hermano felicitaciones por esta informacion y por toda la q existe en esta excelente pagina de verdad q me a ayudado demasiado en mis modulos un cordial saludo a todos y felicitaciones sigan asi….desde VENEZUELA UN ABRAZO

22. sebastian barrera - mayo 11, 2010

buenas tardes a todos
quisiera saber como puedo hacer una acl que me permita que los host de la red 172.20.16.0/23 con direcciones ip pares accedan al servidor web. lo estoy haciendo en packet tracer pero no me funciona.
mi acl extendida nombrada es:
permit tcp 172.20.16.0 0.0.0.254 host 10.2.11.1 eq 80
y a la interfaz la agrupe como in

23. ernesto - mayo 12, 2010

Sebas, lo estas haciendo al revés, deniega los impares y luego permite el resto!

Suerte

24. Alexi - julio 9, 2010

Wow!!!

Me acabas de salvar la vida, con esta explicacion tan bien hecha; en 5 minutos (bueno 10 por que estoy entre dormida y despierta) entendi lo que el profesor explico en dos clases de aprox dos horas cada una :S
GRACIAS !!!
Muy buena forma de explicar, trato de escribir lo mejor posible sorry, llevo horas con la practica que no acababa, y ya me stoy durmiendo, Saludos…

25. ernesto - julio 9, 2010

Alexi, gracias, para eso estamos!

Un saludo

26. Angie - julio 18, 2010

Señor Ernesto de verdad muchas gracias por la información de su página, ya curse los cuatro modulos de Cisco CCNA y me estoy preparando para la certificacion y la informacion que presenta en su pagina es muy clara y puntual, hace mas facil la comprension del curriculum.
Saludos desde Costa Rica

27. ernesto - julio 19, 2010

Un saludo para los amigos de Costa Rica.

28. Efrain - agosto 13, 2010

Que tal Ernesto,

Deseo bloquear la mayor parte del acceso a paginas web por ACL,
pero lo quiero hacer por medio del hostname de la computadora.
Es esto posible?

De antemano muchas gracias.

29. ernesto - agosto 15, 2010

Efrain, puedes crear una tabla de host asociando la IP con el nombre del host. Lo que dudo es que puedas crear la ACL utilizando ese nombre.

IP host computadora x.x.x.x

Un saludo

30. Raul - octubre 5, 2010

Ernesto, muy buen aportte, te felicito
En una ACL, como puedo hacer para editar una linea:

access-list 114 permit ip host 192.168.220.242 192.168.60.0 0.0.0.255

en esa misma linea cambiar una dirección IP en ves que sea .242, que sea .245 por así decirlo

o como borrarla , que comando uso?

de antemano muchas gracias por tu atención

31. Mauricio - diciembre 9, 2010

Hola Raul:
Lamentablemente, las ACL no se pueden cambiar, por lo que la solución más práctica a eso, es copiar todas las sentencias de la lista de acceso a un block de notas (por ejemplo), editarla en el block de notas, luego en el router borrar la lista de acceso, y pegar la lista de acceso editada y copiada desde el block de notas.

Ahora, en las listas de acceso nombradas, si bien no se puede cambiar ninguna sentencia por otra, lo que si se puede hacer es insertar sentencias entremedio, ya que a todas las listas de acceso que uno definió en su momento, le es asignado un numero que va saltandose de 10 en 10, entonces, tu alfinal de la lista de acceso que vayas a agregar y desees colocar entremedio, le especificas el número, el cual deberá ser un numero intermetio. Por ejemplo, si quisieras insertar una sentencia en una ACL100, entre la sentencia numero 60 y la sentencia siguiente (la numero 70, ya que se van saltando de 10 en 10), deberas configurar una nueva sentencia con el mismo numero de ACL obviamente, pero al final le especificaras el numero 65 (por ejemplo), y con eso, aparecerá entremedio de la 60 y la 70.

Espero haberte ayudado.
Saludos a todos

32. Andres - mayo 16, 2011

Solo faltaría las extendidas con nombre :/ pero todo muy bien explicado 😉

33. Yenifer Quiroz Astudillo - octubre 6, 2011

Sr Ernesto
En breve, muy bien explicado .




Hospedado en el Data Center de Tecnocratica