Configuración de ACL
noviembre 3, 2019
El proceso de creación de una ACL se lleva a cabo creando la lista y posteriormente asociándola a una interfaz entrante o saliente.
Configuración de ACL estándar
Router(config)#access-list[1-99][permit|deny][dirección de origen][mascara comodín]
Donde:
1-99 Identifica el rango y la lista.
Permit|deny indica si esta entrada permitirá o bloqueará el tráfico a partir de la dirección especificada.
Dirección de origen identifica la dirección IP de origen.
Mascara comodín o wildcard identifica los bits del campo de la dirección que serán comprobados.
La mascara predeterminada es 0.0.0.0 (coincidencia de todos los bits).
Asociación de la lista a una interfaz
Router(config-if)#ip access-group[nº de lista de acceso][in|out]
Donde:
Número de lista de acceso indica el número de lista de acceso que será aplicada a esa interfaz.
In|out selecciona si la lista de acceso se aplicará como filtro de entrada o de salida.
Ejemplo de una ACL estándar denegando una red:
Router#configure terminal
Router(config)#access-list 10 deny 192.168.1.0 0.0.0.0
Router(config)#access-list 10 permit any
Router(config)#interface serial 0
Router(config-if)#ip access-group 10 in
Se ha denegado al host 192.168.1.0 y luego se ha permitido a cualquier origen,
Posteriormente se asocio la ACL a la interfaz Serial 0.
Configuración de ACL extendida
El proceso de configuración de una ACL IP extendida es el siguiente:
Router(config)#access-list[100-199][permit|deny][protocol][dirección de origen][mascara comodín][dirección de destino][mascara de destino][puerto][establisehed][log]
100-199 identifica el rango y número de lista
Permit|deny: indica si la entrada permitirá o bloqueara la dirección especificada.
Protocolo: como por ejemplo IP, TCP, UDP, ICMP
Dirección origen y destino: identifican direcciones IP de origen y destino.
Mascara wildcard origen y máscara destino: Son las máscaras comodín. Las 0 indican las posiciones que deben coincidir, y los 1 las “que no importan”.
Puerto:(opcional) puede ser por ejemplo: lt (menor que), gt (mayor que), eq (igual a), o neq (distinto que) y un número de puerto de protocolo correspondiente.
Establisehed: (opcional) Se usa solo para TCP de entrada. Esto permite que él tráfico TCP pase si el paquete utiliza una conexión ya establecida (por ejemplo posee un conjunto de bits ACK)
Log: (opcional) Envía un mensaje de registro a la consola a un servidor syslog determinado.
Algunos de los números de puertos más conocidos:
20 Datos del protocolo FTP
21 FTP
23 Telnet
25 SMTP
69 TFTP
53 DNS
Asociación de la lista a una interfaz
Router(config-if)#ip access-group[nº de lista de acceso][in|out]
Donde:
Número de lista de acceso indica el número de lista de acceso que será aplicada a esa interfaz.
In|out selecciona si la lista de acceso se aplicará como filtro de entrada o de salida.
Ejemplo de una ACL Extendida denegando un host hacia el puerto 80 de una red:
Router(config)#access-list 120 deny tcp host 204.204.10.1 any eq 80
Router(config)#access-list 120 permit ip any any
Router(config)#interface serial 1
Router(config-if)#ip access-group 120 in
Se ha denegado al host 204.204.10.1, (identificándolo con la abreviatura “host”) hacia el puerto 80 de cualquier red de destino (usando el termino any). Posteriormente se permite todo trafico IP. Esta ACL se asocio a la interfaz Serial 1 como entrante.
Aplicación de una ACL a la linea de telnet
Para evitar intrusiones no deseadas en las conexiones de telnet se puede crear una lista de acceso estándar y asociarla a la Line VTY. El proceso de creación se lleva a cabo como una ACL estándar denegando o permitiendo un origen hacia esa interfaz. El modo de asociar la ACL a la Línea de telnet es el siguiente:
router(config)#line vty 0 4
router(config-line)#access-class[nº de lista de acceso][in|out]
Como eliminar las listas de acceso
Desde el modo interfaz donde se aplico la lista:
Router(config-if)#no ip access-group[nº de lista de acceso]
Desde el modo global elimine la ACL
router(config)#no access-list[nº de lista de acceso]
- Publicado en : General
- Autor : Ernesto
Aprenderedes.com fue creado con fines educativos, NO responderé consultas técnicas ni fuera del temario CCNA.»
Mestro Ernesto, tengo un problema con la colocacion de las ACL, coloque una ACL en un Router de esta manera.
Croquis:
(RIP V1)
|——192.268.1.0—— ROUTER ——-192.168.2.0——|
E0 E1
access-list 101 deny ip host 192.168.2.3 192.168.1.0 0.0.0.255
access-list 101 permit ip any any
interface ethernet 0/1
ip access-group 101 in
Esta ACL de hecho no permite que el host 192.168.2.3 salga de la sub red 192.168.2.0, pero, ¿porque cuando trato de hacer ping del host 192.168.1.3 al host 192.168.2.3 no lo hace?, no entiendo si estoy filtrando es trafico de entrada en el puerto ethernet 0/1 y ademas estoy utilizando una ACL Extendida con dir. origen y destino.
Lo probe con el Packet Tracer 5.0.
Erick, el ping si funciona lo que no llega es la respuesta, debes permitir el «echo-reply» para que esta sea permitida.
access-list 101 permit icmp any any echo-reply
access-list 101 deny ip host 192.168.2.3 192.168.1.0 0.0.0.255
access-list 101 permit ip any any
o permiti icmp completo
access-list 101 permit icmp any any
access-list 101 deny ip host 192.168.2.3 192.168.1.0 0.0.0.255
access-list 101 permit ip any any
Un saludo
Muchisimas gracias Ernesto, ya entendi.
Hola señor Ernesto Ariganello, muy buena la pagina, y muy facil de entender el proceso de ACL, pero tengo una pregunta, o mas bien, un ejercicio que aun no logro entender. El ejercicio es el siguiente:
1- Denegar de los 15 primeros host, solo los pares de las SR1 10.0.1.0 el acceso a la SR4 10.0.4.0
2- Denegar de los primeros 79 host solo los impares de la SR1 10.0.1.0, el acceso a la SR 5 10.0.5.0
Agradeceria mucho,cualquier ayuda que me de en este ejercicio, desde ya mis más profundos agradecimientos.
Hola, un saludo a todos. Y felicidades sr. Ernesto este gran sitio.
Tengo un pequeño problema al momento de aplicar ACLs a un router cisco 1750. Este router esta conectado a un switch por su fastethernet y al swithc tengo tambien conectado un router linksys para compartir el internet con la direccion 10.30.55.3, mi idea es usar el 1750(10.30.55.5) para solo permitir el acceso a internet a ciertas paginas. Tengo una ruta estatica por default que todo lo que entre por el 1750(10.30.55.5) lo mande al 10.30.55.3 hasta aqui esta bien todo todas mis pcs entrar a internet libremente. Aplico esta ACL por ejemplo:
access-list 102 permit ip any host 74.125.95.104
ip access-group 102 out —->en la FastE 0
Esto para que solo las pcs entren a ese sitio q es el de gogle y al poner la direccion en el explorador no entra, pero si ledoy un ping a http://www.google.com me responde y mas aun su en vez de poner el dominio pongo la direccion ip en el explorardor entra. Gracias de antemano por los comentarios.
hola ernetsto, gracias de antemano por tu colaboracion al exponer esta pagina que es bastante exlicativa.
quisiera consultar como puedo probar si realmante funciona una lista de acceso EXTENDIDA cuando trabajo en un simulador como el Bosom Net sim, ya que en las listas de acceso extendidas que configurá, realmente no pude comprobar si funcionan o no, es decir no supe si la informacion se filtra o no se filtra y como se comprueba, gracias por ayudar a personas como nosotros los que te escribimos que realmente queremos aprender.
Hola Juan Pablo, no se que posibilidades brinda ese simulador, en otros se puede (creo) simular web, tftp y otros puertos. Prueba con el Packet Tracer.
Un saludo
a alguien le vi que pregunto por como filtrar los pares o los impares.
mira, si tienes por ejemplo la red 172.20.112.0 y quieres los pares seria con la wildcard 0.0.0.254 y para los impares debes poner en la ACL 172.20.112.1 con la will 0.0.0.254.
Analiza esto recuerda que el ultimo bit si es 1 es impar si es 0 es par, es por ello que solo me corro un host.
xD no soy muy bueno explicando pero eso funciona.
Hola Ernesto
quisiera saber si podrias ayudarme con un ejercicio de ACL
tengo que permitir el acceso a los primeros 20 host de la red 100.128.128.0 /25 y no tengo idea de como hacerlo.
agradeceria mucho si me pudieras explicar como realizar el ejercicio.
Saludos!
M e parece muy completa la informacion que presentan pero si quiero bloquear varias acls es decir solo un bloque como de la 200.31.15.131 ala 200.31.15.140, ¿com se hace?
hola Ernesto tengo un problema con las ACLs tengo 2 redes diferentes con ospf, en una de las redes tengo 2 clientes y un serverubuntu y en la otra un cliente xp un cliente ubuntu y server2008 ¿COMO HAGO PARA QUE SOLO SE PERMITA EL ACCESO ENTRE LOS DOS SERVIDORES Y DENEGAR EL ACCESO DE LOS CLIENTES DE LAS 2 REDES?
Cesar18, simplemente permite las IP de los servidores y deniega el resto. Si es necesario filtra puertos.
S2
Sr ernesto es mi maestro gracias es un genio en sto saludos. y gracias por compartir sus conocimientos con todos
Hola Ernesto mucho respeto a tus conocimientos. Me gustaría saber si me puedes hacer el favor de explicarme un poco la utilización de “icmp any any echo-reply” y en sí que hace o quá función tiene el “echo-reply” respecto a ICMP. Necesito solucionar esta duda pronto, gracias.
Hola Ernesto, bueno estuve investigando un poco y llegue a una conclusión pero no sá si es acertada entonces me gustaría saber quá opinas?
Si utilizo el “echo-replay” es como decir “no salga” o en caso contrario “salga”.
Si utilizo el “echo” es “no entre” o en caso contrario “entre”.
Por ejemplo si quiero permitir que entre un ping a la red pero que no salga seria:
access-list 101 permit icmp any any echo
access-list 101 deny icmp any any echo-reply
Bueno me gustaría saber si tengo razón gracias!!!
hola a todos me ha gustado mucho la informacion y la entiendo bien solo que tengo una duda por ejemplo en la escuela me estan enseñando a bloquear solo las ip nones o ip pares de una cierta red lo que no entiendo es como cambiar la wilcard mask espero pronto encontra respuesta saludos y gracia snuevamente por la informacion
excelente! gran pagina.. te felicito falta gente como tu en este rubro
DXS
esta buenisimo!!!!
gracia excelente, de verdad gracias por tu interes por compartir lo que sabes
gracias amigo, gracias por compartir y hacer q otras personas q soñamos con ccna podamos aprender de ti, saludos from peru edgar rodolfo…
Buenas noches hermano felicitaciones por esta informacion y por toda la q existe en esta excelente pagina de verdad q me a ayudado demasiado en mis modulos un cordial saludo a todos y felicitaciones sigan asi….desde VENEZUELA UN ABRAZO
buenas tardes a todos
quisiera saber como puedo hacer una acl que me permita que los host de la red 172.20.16.0/23 con direcciones ip pares accedan al servidor web. lo estoy haciendo en packet tracer pero no me funciona.
mi acl extendida nombrada es:
permit tcp 172.20.16.0 0.0.0.254 host 10.2.11.1 eq 80
y a la interfaz la agrupe como in
Sebas, lo estas haciendo al revás, deniega los impares y luego permite el resto!
Suerte
Wow!!!
Me acabas de salvar la vida, con esta explicacion tan bien hecha; en 5 minutos (bueno 10 por que estoy entre dormida y despierta) entendi lo que el profesor explico en dos clases de aprox dos horas cada una :S
GRACIAS !!!
Muy buena forma de explicar, trato de escribir lo mejor posible sorry, llevo horas con la practica que no acababa, y ya me stoy durmiendo, Saludos…
Alexi, gracias, para eso estamos!
Un saludo
Señor Ernesto de verdad muchas gracias por la información de su página, ya curse los cuatro modulos de Cisco CCNA y me estoy preparando para la certificacion y la informacion que presenta en su pagina es muy clara y puntual, hace mas facil la comprension del curriculum.
Saludos desde Costa Rica
Un saludo para los amigos de Costa Rica.
Que tal Ernesto,
Deseo bloquear la mayor parte del acceso a paginas web por ACL,
pero lo quiero hacer por medio del hostname de la computadora.
Es esto posible?
De antemano muchas gracias.
Efrain, puedes crear una tabla de host asociando la IP con el nombre del host. Lo que dudo es que puedas crear la ACL utilizando ese nombre.
IP host computadora x.x.x.x
Un saludo
Ernesto, muy buen aportte, te felicito
En una ACL, como puedo hacer para editar una linea:
access-list 114 permit ip host 192.168.220.242 192.168.60.0 0.0.0.255
en esa misma linea cambiar una dirección IP en ves que sea .242, que sea .245 por así decirlo
o como borrarla , que comando uso?
de antemano muchas gracias por tu atención
Hola Raul:
Lamentablemente, las ACL no se pueden cambiar, por lo que la solución más práctica a eso, es copiar todas las sentencias de la lista de acceso a un block de notas (por ejemplo), editarla en el block de notas, luego en el router borrar la lista de acceso, y pegar la lista de acceso editada y copiada desde el block de notas.
Ahora, en las listas de acceso nombradas, si bien no se puede cambiar ninguna sentencia por otra, lo que si se puede hacer es insertar sentencias entremedio, ya que a todas las listas de acceso que uno definió en su momento, le es asignado un numero que va saltandose de 10 en 10, entonces, tu alfinal de la lista de acceso que vayas a agregar y desees colocar entremedio, le especificas el número, el cual deberá ser un numero intermetio. Por ejemplo, si quisieras insertar una sentencia en una ACL100, entre la sentencia numero 60 y la sentencia siguiente (la numero 70, ya que se van saltando de 10 en 10), deberas configurar una nueva sentencia con el mismo numero de ACL obviamente, pero al final le especificaras el numero 65 (por ejemplo), y con eso, aparecerá entremedio de la 60 y la 70.
Espero haberte ayudado.
Saludos a todos
Solo faltaría las extendidas con nombre :/ pero todo muy bien explicado 😉
Sr Ernesto
En breve, muy bien explicado .
por que se cae OSPF con ACL??
Buenas noches
Hola Ernesto, me gustaría saber como permitir a un rango de direcciones ip ejecutar TELNET. El resto de la red no puede. Todo el demás trafico es permitido.
Gracias
gracias SR ernesto buena expliacion
En PC1 al escribir en el navegador la URL unemi.com no cargue la página, pero que si cargue al poner en el navegador la dirección IP del WEB
Cree una ACL extendida con la numeración 100
Pc1: 192.168.1.3
ip del web: 192.168.2.2
Me ayuda porfavor don Ernesto