Sie sind auf Seite 1von 4

ACL se refiere a una lista de reglas que detallan puertos de servicio o nombres de dominios (de redes) que estn

disponibles en una terminal u otro dispositivo de capa de red, cada uno de ellos con una lista de terminales y/o redes que tienen permiso para usar el servicio. ACL estndar, donde solo tenemos que especificar una direccin de origen; ACL extendida, en cuya sintaxis aparece el protocolo y una direccin de origen y de destino. Comandos para crear ACLS: Crear una ACL estndar: (config)#access-list <# lista>; Ejemplos: (config)#access-list 1 deny 10.5.3.0 0.0.0.255 (config)#access-list 1 permit host 10.5.3.37 (config)#access-list 1 permit any Parmetros: # Lista: Estndar de 1 a 99, extendida de 100 a 199 Accin: Protocolo: ip | tcp | udp | icmp comparacin: gt | lt | eq gt = greater than, lt = lesser than, eq = equal Origen de una sola ip: host Origen de cualquier ip: any Origen de una red: La wildcard ser en la mayora de los casos el inverso de la mscara Crear una ACL extendida: (config)#access-list <# lista> [comparacin] [puerto origen] [comparacin] [puerto destino]; Ejemplos: (config)#access-list 105 permit 10.5.4.0 0.0.0.255 host 10.5.64.30 eq 80 (config)#access-list 105 permit host 10.5.3.37 10.5.64.0 0.0.63.255 (config)#access-list 105 deny 10.5.3.0 0.0.0.255 any Origen o destino de una sola ip: host Origen o destino de cualquier ip: any Origen o destino de una red: La wildcard ser en la mayora de los casos el inverso de la mscara Aplicar la lista sobre un puerto: Debe ingresarse primero al puerto deseado y luego aplicarla all, ya sea entrante o saliente: (config-if)#ip access-group <# lista>; Ejemplo: (config)#interface seria 0/0 (config-if)#ip access-group 100 out Para aplicarla al trfico que va dirigido al router propiamente (telnet por ejemplo), debe hacerse sobre las terminales virtuales (config)#line vty 0 4 (config-line)#access-class <# lista> Ejemplo: (config-line)#access-class 105 in Borrar una ACL: (config)#no access-list <# lista>; Ejemplo: (config)#no access-list 105

Es posible bloquear el acceso a un web site utilizando ACL en Cisco IOS?


La respuesta es simple y directa: SI. Es posible bloquear el acceso a una direccin URL desde un dispositivo Cisco IOS utilizando ACL. El tema es cmo. No es una tarea difcil en la medida en que se comprenda cmo operan las listas de acceso. Este es un procedimiento posible: 1. Configure un servidor DNS Supondremos que se nos ha encomendado bloquear el acceso a la URL www.google.com (sera un poco raro, pero valga simplemente como ejemplo). No conocemos la direccin IP, y tampoco lo necesitamos; Cisco IOS tiene la posibilidad de trabajar a partir del nombre. Para esto es preciso que se haya configurado al menos un servidor DNS para ser utilizado por el IOS para la resolucin de nombres; esto se realiza utilizando el comando ip name-server: Router(config)#ip name-server ? A.B.C.D Domain server IP address (maximum of 6) Router(config)#ip name-server 192.115.192.29 Observe que se pueden configurar varios servidores de nombre en la misma lnea de comando) A partir de este punto, el router utilizar el servidor de nombres que configuramos, para resolver todo texto que no se corresponda a un comando, en nuestro caso, por ejemplo: Router# ping www.google.com Translating "www.google.com"...domain server (192.115.192.29) [OK] Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 64.255.179.104, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/4 ms Router# En este caso el nombre www.google.com ha sido resuelto a la direccin IP 64.255.179.104 utilizando el servidor DNS 192.115.192.29 2. Cree una lista de acceso Ahora lo nico que necesitamos es crear una lista de acceso que defina exactamente qu es lo que se desea bloquear y permitir luego todo el dems trfico. En nuestro ejemplo: Router(config)# access-list 101 deny tcp any host www.google.com eq www Translating "www.google.com"...domain server (192.115.192.29) [OK] Router(config)# access-list 101 permit ip any any Esta lista de acceso deniega todo el trfico web hacia el dominio especificado, cualquiera sea la direccin de origen. Despus de esta denegacin permitimos todo otro trfico IP a travs de esa interfaz para evitar el problema que genera el deny implcito que est al final de toda ACL.

Adicionalmente, si se deseara tener un registro de las direcciones IP que intentan acceder al sitio web bloqueado, la sentencia de la ACL debe ser: Router(config)# access-list 101 deny tcp any host www.google.com eq www log El subcomando log da lugar a la creacin de un registro de todos los paquetes que sean denegados por esta sentencia. 3. Esto tiene sus lmites Este uso del servidor DNS parece resolver la necesidad de conocer la direccin IP del web server destino para bloquearlo en Cisco IOS. Esto es verdad solo parcialmente. Si se revisa el archivo de configuracin luego de ingresar nuestra sentencia ACL, lo que se ve es esto: Router# sh run inc access-list 101 access-list 101 deny tcp any host 64.255.179.104 eq www Es decir, al ingresar el comando el servicio dns reemplaz automticamente la URL por la primer IP que corresponde a ese nombre, e ingres la sentencia ya con la IP destino en la configuracin. Esto tiene varias complicaciones: si la URL tiene varias direcciones IP como referentes, nuestra ACL solo filtrar la primera, las dems debern ser ingresadas manualmente: C:\>nslookup www.google.com Server: ns1.labcentro.com.ar Address: 192.115.192.29 Non-authoritative answer: Name: www.l.google.com Addresses: 64.255.179.104, 64.255.179.99 Aliases: www.google.com En nuestro ejemplo, debiramos agregar una sentencia que filtre el trfico a la IP 64.255.179.99. Adicionalmente tambin hay que tener en cuenta que si la direccin IP del servidor que estamos filtrando cambio por cualquier motivo, nuestra sentencia permanecer direccionada a la misma IP por la que deber ser manualmente actualizada. 4. Aplique la ACL a la interfaz Echas estas salvedades, la ACL debe ser aplicada a la interfaz correspondiente. En nuestro ejemplo asumiremos que estamos filtrando el trfico que desde nuestra LAN busca salir hacia Internet. Siendo as, podemos aplicar, por ejemplo, la ACL para que filtre el trfico saliente del router a travs de la interfaz serial: Router(config)# int serial 0/0 Router(config-if)# ip access-group 101 out

ACL estndar

Sintaxis para un rengln (se escribe en el modo de configuracin global):


access-list (nmero) (deny | permit) (ip origen) (wildcard origen)

Ejemplo: Bloquear toda la subred 172.17.3.0/24, excepto la mquina 172.17.3.10.


access-list 1 permit host 172.17.3.10 access-list 1 deny 172.17.3.0 0.0.0.255 access-list 1 permit any

Para asignarlo a una interface:


interface F0 ip access-group 1 out

ACL extendidas

Sintaxis para cada rengln:


access-list (nmero) (deny | permit) (protocolo) (IP origen) (wildcard origen) (IP destino) (wildcard destino) [(operador) (operando)]

El "protocolo" puede ser (entre otros) IP (todo trfico de tipo TCP/IP), TCP, UDP, ICMP. El "operando" puede ser un nmero de puerto (por ejemplo 21), o una sigla conocida, por ejemplo, "ftp". Ejemplo 1: Repetir el ejemplo de la ACL estndar, pero se especifica que se quiere permitir o denegar el trfico con destino al servidor, que est en 172.16.0.1:
access-list 101 permit ip host 172.17.3.10 host 172.16.0.1 access-list 101 deny ip 172.17.3.0 0.0.0.255 host 172.16.0.1 access-list 101 permit ip any any

Ejemplo 2: Permitir trfico HTTP y "ping" (ICMP) al servidor 172.16.0.1, para todos. Denegar todo lo dems.
access-list 102 permit icmp any host 172.16.0.1 access-list 102 permit tcp any host 172.16.0.1 eq www

Comandos varios
show ip interface (muestra asignaciones de ACL) show access-lists (muestra el contenido de las ACL) debug ip packet 101 [detail] (permite analizar cmo se aplican las ACL)