Aprenderedes.com fue creado con fines educativos, NO responderé consultas técnicas ni fuera del temario CCNA.»

1. Erick Flores - octubre 27, 2008

Mestro Ernesto, tengo un problema con la colocacion de las ACL, coloque una ACL en un Router de esta manera.
Croquis:
(RIP V1)
|——192.268.1.0—— ROUTER ——-192.168.2.0——|
E0 E1

access-list 101 deny ip host 192.168.2.3 192.168.1.0 0.0.0.255
access-list 101 permit ip any any

interface ethernet 0/1
ip access-group 101 in

Esta ACL de hecho no permite que el host 192.168.2.3 salga de la sub red 192.168.2.0, pero, ¿porque cuando trato de hacer ping del host 192.168.1.3 al host 192.168.2.3 no lo hace?, no entiendo si estoy filtrando es trafico de entrada en el puerto ethernet 0/1 y ademas estoy utilizando una ACL Extendida con dir. origen y destino.
Lo probe con el Packet Tracer 5.0.

2. Ernesto Ariganello - octubre 27, 2008

Erick, el ping si funciona lo que no llega es la respuesta, debes permitir el «echo-reply» para que esta sea permitida.

access-list 101 permit icmp any any echo-reply
access-list 101 deny ip host 192.168.2.3 192.168.1.0 0.0.0.255
access-list 101 permit ip any any

o permiti icmp completo

access-list 101 permit icmp any any
access-list 101 deny ip host 192.168.2.3 192.168.1.0 0.0.0.255
access-list 101 permit ip any any

Un saludo

3. Erick Flores - octubre 28, 2008

Muchisimas gracias Ernesto, ya entendi.

4. Carlo Gonzalez - octubre 30, 2008

Hola señor Ernesto Ariganello, muy buena la pagina, y muy facil de entender el proceso de ACL, pero tengo una pregunta, o mas bien, un ejercicio que aun no logro entender. El ejercicio es el siguiente:
1- Denegar de los 15 primeros host, solo los pares de las SR1 10.0.1.0 el acceso a la SR4 10.0.4.0

2- Denegar de los primeros 79 host solo los impares de la SR1 10.0.1.0, el acceso a la SR 5 10.0.5.0

Agradeceria mucho,cualquier ayuda que me de en este ejercicio, desde ya mis más profundos agradecimientos.

5. Eligio Flores - noviembre 12, 2008

Hola, un saludo a todos. Y felicidades sr. Ernesto este gran sitio.
Tengo un pequeño problema al momento de aplicar ACLs a un router cisco 1750. Este router esta conectado a un switch por su fastethernet y al swithc tengo tambien conectado un router linksys para compartir el internet con la direccion 10.30.55.3, mi idea es usar el 1750(10.30.55.5) para solo permitir el acceso a internet a ciertas paginas. Tengo una ruta estatica por default que todo lo que entre por el 1750(10.30.55.5) lo mande al 10.30.55.3 hasta aqui esta bien todo todas mis pcs entrar a internet libremente. Aplico esta ACL por ejemplo:

access-list 102 permit ip any host 74.125.95.104
ip access-group 102 out —->en la FastE 0

Esto para que solo las pcs entren a ese sitio q es el de gogle y al poner la direccion en el explorador no entra, pero si ledoy un ping a http://www.google.com me responde y mas aun su en vez de poner el dominio pongo la direccion ip en el explorardor entra. Gracias de antemano por los comentarios.

6. juan pablo - noviembre 12, 2008

hola ernetsto, gracias de antemano por tu colaboracion al exponer esta pagina que es bastante exlicativa.
quisiera consultar como puedo probar si realmante funciona una lista de acceso EXTENDIDA cuando trabajo en un simulador como el Bosom Net sim, ya que en las listas de acceso extendidas que configurá, realmente no pude comprobar si funcionan o no, es decir no supe si la informacion se filtra o no se filtra y como se comprueba, gracias por ayudar a personas como nosotros los que te escribimos que realmente queremos aprender.

7. Ernesto Ariganello - noviembre 13, 2008

Hola Juan Pablo, no se que posibilidades brinda ese simulador, en otros se puede (creo) simular web, tftp y otros puertos. Prueba con el Packet Tracer.

Un saludo

8. Dario =P - diciembre 5, 2008

a alguien le vi que pregunto por como filtrar los pares o los impares.
mira, si tienes por ejemplo la red 172.20.112.0 y quieres los pares seria con la wildcard 0.0.0.254 y para los impares debes poner en la ACL 172.20.112.1 con la will 0.0.0.254.
Analiza esto recuerda que el ultimo bit si es 1 es impar si es 0 es par, es por ello que solo me corro un host.

xD no soy muy bueno explicando pero eso funciona.

9. Richardson - diciembre 11, 2008

Hola Ernesto

quisiera saber si podrias ayudarme con un ejercicio de ACL

tengo que permitir el acceso a los primeros 20 host de la red 100.128.128.0 /25 y no tengo idea de como hacerlo.

agradeceria mucho si me pudieras explicar como realizar el ejercicio.

Saludos!

10. banito!!!! - enero 13, 2009

M e parece muy completa la informacion que presentan pero si quiero bloquear varias acls es decir solo un bloque como de la 200.31.15.131 ala 200.31.15.140, ¿com se hace?

11. CESAR18 - junio 12, 2009

hola Ernesto tengo un problema con las ACLs tengo 2 redes diferentes con ospf, en una de las redes tengo 2 clientes y un serverubuntu y en la otra un cliente xp un cliente ubuntu y server2008 ¿COMO HAGO PARA QUE SOLO SE PERMITA EL ACCESO ENTRE LOS DOS SERVIDORES Y DENEGAR EL ACCESO DE LOS CLIENTES DE LAS 2 REDES?

12. ernesto - junio 13, 2009

Cesar18, simplemente permite las IP de los servidores y deniega el resto. Si es necesario filtra puertos.

S2

13. Enrique morales - agosto 7, 2009

Sr ernesto es mi maestro gracias es un genio en sto saludos. y gracias por compartir sus conocimientos con todos

14. ivan cespedes - noviembre 16, 2009

Hola Ernesto mucho respeto a tus conocimientos. Me gustarí­a saber si me puedes hacer el favor de explicarme un poco la utilización de “icmp any any echo-reply” y en sí­ que hace o quá función tiene el “echo-reply” respecto a ICMP. Necesito solucionar esta duda pronto, gracias.

15. ivan cespedes - noviembre 16, 2009

Hola Ernesto, bueno estuve investigando un poco y llegue a una conclusión pero no sá si es acertada entonces me gustarí­a saber quá opinas?

Si utilizo el “echo-replay” es como decir “no salga” o en caso contrario “salga”.

Si utilizo el “echo” es “no entre” o en caso contrario “entre”.

Por ejemplo si quiero permitir que entre un ping a la red pero que no salga seria:

access-list 101 permit icmp any any echo
access-list 101 deny icmp any any echo-reply

Bueno me gustarí­a saber si tengo razón gracias!!!

16. MARCOS ARGUELLES - noviembre 19, 2009

hola a todos me ha gustado mucho la informacion y la entiendo bien solo que tengo una duda por ejemplo en la escuela me estan enseñando a bloquear solo las ip nones o ip pares de una cierta red lo que no entiendo es como cambiar la wilcard mask espero pronto encontra respuesta saludos y gracia snuevamente por la informacion

17. Diegox - noviembre 30, 2009

excelente! gran pagina.. te felicito falta gente como tu en este rubro

DXS

18. anibal!!!! - diciembre 11, 2009

esta buenisimo!!!!

19. Jose Tapia - diciembre 12, 2009

gracia excelente, de verdad gracias por tu interes por compartir lo que sabes

20. Edgar Rodolfo - diciembre 16, 2009

gracias amigo, gracias por compartir y hacer q otras personas q soñamos con ccna podamos aprender de ti, saludos from peru edgar rodolfo…

21. jean - abril 14, 2010

Buenas noches hermano felicitaciones por esta informacion y por toda la q existe en esta excelente pagina de verdad q me a ayudado demasiado en mis modulos un cordial saludo a todos y felicitaciones sigan asi….desde VENEZUELA UN ABRAZO

22. sebastian barrera - mayo 11, 2010

buenas tardes a todos
quisiera saber como puedo hacer una acl que me permita que los host de la red 172.20.16.0/23 con direcciones ip pares accedan al servidor web. lo estoy haciendo en packet tracer pero no me funciona.
mi acl extendida nombrada es:
permit tcp 172.20.16.0 0.0.0.254 host 10.2.11.1 eq 80
y a la interfaz la agrupe como in

23. ernesto - mayo 12, 2010

Sebas, lo estas haciendo al revás, deniega los impares y luego permite el resto!

Suerte

24. Alexi - julio 9, 2010

Wow!!!

Me acabas de salvar la vida, con esta explicacion tan bien hecha; en 5 minutos (bueno 10 por que estoy entre dormida y despierta) entendi lo que el profesor explico en dos clases de aprox dos horas cada una :S
GRACIAS !!!
Muy buena forma de explicar, trato de escribir lo mejor posible sorry, llevo horas con la practica que no acababa, y ya me stoy durmiendo, Saludos…

25. ernesto - julio 9, 2010

Alexi, gracias, para eso estamos!

Un saludo

26. Angie - julio 18, 2010

Señor Ernesto de verdad muchas gracias por la información de su página, ya curse los cuatro modulos de Cisco CCNA y me estoy preparando para la certificacion y la informacion que presenta en su pagina es muy clara y puntual, hace mas facil la comprension del curriculum.
Saludos desde Costa Rica

27. ernesto - julio 19, 2010

Un saludo para los amigos de Costa Rica.

28. Efrain - agosto 13, 2010

Que tal Ernesto,

Deseo bloquear la mayor parte del acceso a paginas web por ACL,
pero lo quiero hacer por medio del hostname de la computadora.
Es esto posible?

De antemano muchas gracias.

29. ernesto - agosto 15, 2010

Efrain, puedes crear una tabla de host asociando la IP con el nombre del host. Lo que dudo es que puedas crear la ACL utilizando ese nombre.

IP host computadora x.x.x.x

Un saludo

30. Raul - octubre 5, 2010

Ernesto, muy buen aportte, te felicito
En una ACL, como puedo hacer para editar una linea:

access-list 114 permit ip host 192.168.220.242 192.168.60.0 0.0.0.255

en esa misma linea cambiar una dirección IP en ves que sea .242, que sea .245 por así­ decirlo

o como borrarla , que comando uso?

de antemano muchas gracias por tu atención

31. Mauricio - diciembre 9, 2010

Hola Raul:
Lamentablemente, las ACL no se pueden cambiar, por lo que la solución más práctica a eso, es copiar todas las sentencias de la lista de acceso a un block de notas (por ejemplo), editarla en el block de notas, luego en el router borrar la lista de acceso, y pegar la lista de acceso editada y copiada desde el block de notas.

Ahora, en las listas de acceso nombradas, si bien no se puede cambiar ninguna sentencia por otra, lo que si se puede hacer es insertar sentencias entremedio, ya que a todas las listas de acceso que uno definió en su momento, le es asignado un numero que va saltandose de 10 en 10, entonces, tu alfinal de la lista de acceso que vayas a agregar y desees colocar entremedio, le especificas el número, el cual deberá ser un numero intermetio. Por ejemplo, si quisieras insertar una sentencia en una ACL100, entre la sentencia numero 60 y la sentencia siguiente (la numero 70, ya que se van saltando de 10 en 10), deberas configurar una nueva sentencia con el mismo numero de ACL obviamente, pero al final le especificaras el numero 65 (por ejemplo), y con eso, aparecerá entremedio de la 60 y la 70.

Espero haberte ayudado.
Saludos a todos

32. Andres - mayo 16, 2011

Solo faltarí­a las extendidas con nombre :/ pero todo muy bien explicado 😉

33. Yenifer Quiroz Astudillo - octubre 6, 2011

Sr Ernesto
En breve, muy bien explicado .

34. Estela Garcia - diciembre 10, 2016

por que se cae OSPF con ACL??
Buenas noches

35. Grisel Rodriguez - abril 4, 2017

Hola Ernesto, me gustarí­a saber como permitir a un rango de direcciones ip ejecutar TELNET. El resto de la red no puede. Todo el demás trafico es permitido.

Gracias

36. viviana vasquez - julio 23, 2017

gracias SR ernesto buena expliacion

37. Marcelo Cantos - marzo 1, 2023

En PC1 al escribir en el navegador la URL unemi.com no cargue la página, pero que si cargue al poner en el navegador la dirección IP del WEB

Cree una ACL extendida con la numeración 100
Pc1: 192.168.1.3
ip del web: 192.168.2.2
Me ayuda porfavor don Ernesto