«

»

mar 25 2008

Desafio da Semana: ACL

Pessoal, como a prática leva à perfeição (no caso, à aprovação no exame 😉 ), vamos para mais um desafio! Mais um de ACL, já que este assunto ainda parece intimidar muitos.

A questão aqui é dividida em 2 partes:

1) Observe a figura, leia o enunciado e procure a alternativa que ilustra a ACL correta;

2) Escreva, em sua resposta, EM QUE INTERFACE de QUAL ROUTER e em QUAL DIREÇÃO esta ACL deveria ser aplicada para produzir o efeito desejado. O ideal é que você escreva os comandos, nesta parte da questão.

Bom trabalho!

Marco.

acl.jpg



Comente usando o Facebook!
0
0

23 comentários

Pular para o formulário de comentário

  1. rafaelbn

    Letra D, na interface e0 do router “Chicopee” e na direção inbound.

    De cara podemos descartar as letras A e B pois ambas possuem uma regra “libera geral” no início.
    A letra C proibe o HR Server de acessar os hosts da rede 172.16.16.0/24 na porta 80. Na verdade a questão solicita o contrário. Os clientes utilizarão uma porta alta para acessar a porta 80 do servidor, por isso a letra C também não é a opção correta.

    0

    0
  2. Bruno7

    Holyoke(config)#access list 110 deny tcp 172.16.16.0 0.0.0.255 172.17.18.252 0.0.0.0 eq 80
    Holyoke(config)#access list 110 permit ip any any
    Holyoke(config)#int e0
    Holyoke(config-if)#ip acces-group 110 out

    Acredito que seja essa a configuração.

    Abraço a todos

    0

    0
  3. lincoln

    Router Chicopee, interface e0, direção in…
    Alternativa D.

    0

    0
  4. diogocampregher

    Segui o mesmo racionício do nosso amigo Rafael. Letra D, Router Chicopee, E0, IN.

    0

    0
  5. daniel.ribeiro

    Lista de acesso estendida: Mais próximo possível da origem, então: Letra D, Router Chicopee, E0, IN.

    att.

    Daniel Ribeiro de Oliveira

    0

    0
  6. Marcia Guimaraes

    Olá….

    Para essa questão temos…. uma acl estendida, portanto recomenda-se sua aplicação o mais próximo possível da origem, assim não é gerado tráfego desnecessário na sua rede.
    ok.
    Aplicamos a acl estendida na interface e0 direção IN do router Chicope. A alternativa correta é a D !

    Logo depois temos a clássica “permite tudo”.

    ok… é isso.

    Sds.
    Márcia Guimarães

    0

    0
  7. Bruno7

    Vendo o lado de não gerar o tráfego desnecessário na rede, eu mudo minha resposta.

    Chicope(config)#access list 110 deny tcp 172.16.16.0 0.0.0.255 172.17.18.252 0.0.0.0 eq 80
    Chicope(config)#access list 110 permit ip any any
    Chicope(config)#int e0
    Chicope(config-if)#ip acces-group 110 in

    Eh, faz parte reconhecer o erro… 🙂

    Espero estar certo agora.

    Bruno Arruda

    0

    0
  8. gesners

    Pessoal,

    Aplica-se a ACL na interface E0 como entrada.
    Opção correta letra D.
    Atenciosamente,
    Gesner Sorrentino

    0

    0
  9. alamon71

    boa noite, aacl da alternativa D deve ser utilizada entrada da interface e0 de chicopee.

    0

    0
  10. Rodrigo Farias

    Letra D,

    Chicope(config)#access list 110 deny tcp 172.16.16.0 0.0.0.255 172.17.18.252 0.0.0.0 eq 80
    Chicope(config)#access list 110 permit ip any any
    Chicope(config)#int e0
    Chicope(config-if)#ip access-group 110 out (porque o que interessa é o que vai sair – OUTPUT)

    acho que seja isso, me corrijam ai!

    0

    0
  11. Rodrigo Farias

    oh shit! é “IN” mesmo
    é processado assim que entra na interface .. hehe

    0

    0
  12. ferrugem

    Como queremos bloquear o acesso vindo do “Accounting Department” (172.16.16.0 /24) para o HR Server (172.17.17.252 /24) e as opções disponíveis para resposta representam listas de acesso estendidas, temos que criar esta o mais próximo da origem de onde o tráfego será gerado, no nosso caso o tráfego que queremos negar.

    Na consideração da interface do Router Chicopee que deve ser aplicada a lista de acesso, temos que considerar que estamos dentro do router ( como dizia meu instrutor )… Você estando dentro do Router e o tráfego que estamos considerando está vindo da rede conectada em sua porta Ethernet 0, temos ai ilustrada uma situação de tráfego “entrante” .. Ou seja o tráfego considerado está entrando no Router Chicopee.. Daí a access-list ser configurada na E0 como in

    Vamos lá a criação da access-list ( assim como já foi dito por outras pessoas aqui em cima… e que eu acho que está certo .. )

    Chicopee(config)#access list 110 deny tcp 172.16.16.0 0.0.0.255 172.17.17.252 0.0.0.0 eq 80
    Chicope(config)#access list 110 permit ip any any
    Chicope(config)#int e0
    Chicope(config-if)#ip acces-group 110 in

    Bem, acho que é isso .. Vou esparar agora a resposta final do Marco!!!

    Abraços a todos!!!

    0

    0
  13. Fabio Silva

    1)D
    2)e0, Chicopee, in

    0

    0
  14. hugo_hrc

    Letra D.
    Router Chicopee
    interface e0
    IN

    Abraços

    0

    0
  15. theo.costa

    Concordo com todos que dizem como resposta certa a letra D.
    Router Chicopee / Interface e0 / IN
    Mas restou-me uma dúvida…poderia trocar o “172.17.17.252 0.0.0.0” por “host 172.17.17.252”?
    😉

    0

    0
  16. Rodrigo Falcão

    Opção D
    router Chicopee / interface e0 (lista estendida – mais próxima da origem) / IN
    Acredito que tanto faz vc colocar “172.17.17.252 0.0.0.0? ou “host 172.17.17.252?.

    Valeu!

    0

    0
  17. Rodrigo Falcão

    Chicope(config)#access list 110 deny tcp 172.16.16.0 0.0.0.255 172.17.18.252 0.0.0.0 eq 80
    Chicope(config)#access list 110 permit ip any any
    Chicope(config)#int e0
    Chicope(config-if)#ip acces-group 110 in

    0

    0
  18. Rodrigo Falcão

    Corrigindo:

    Chicope(config)#access list 110 deny ip 172.16.16.0 0.0.0.255 172.17.18.252 0.0.0.0
    Chicope(config)#access list 110 permit ip any any
    Chicope(config)#int e0
    Chicope(config-if)#ip acces-group 110 in

    Abrçs

    0

    0
  19. eder.mlk

    É aplicado no router Chicope na interface ethernet0 no sentido Inbound.

    A configuração necessária é esta abaixo:

    Chicope(config)#access list 110 deny tcp 172.16.16.0 0.0.0.255 172.17.18.252 0.0.0.0
    Chicope(config)#access list 110 permit ip any any
    Chicope(config)#interface eth0
    Chicope(config-if)#ip acces-group 110 in
    Chicope(config-if)#end
    Chicope#wr

    0

    0
  20. ferrugem

    Pessoal, percebi que todos colocaram como destino na ACL o endereço do Web Server ( 172.17.18.252 /24 ), sendo que na verdade, o endereço tem que ser o do HR Server ( 172.17.17.252 /24 ) .. Assim como está na própria resposta da letra D!

    Abraços a todos!!!

    0

    0
  21. Rodrigo Falcão

    É verdade, então ficaria assim:

    Chicope(config)#access list 110 deny tcp 172.16.16.0 0.0.0.255 172.17.17.252 0.0.0.0 eq 80
    Chicope(config)#access list 110 permit ip any any
    Chicope(config)#int e0
    Chicope(config-if)#ip acces-group 110 in

    0

    0
  22. Marco Filippetti

    A alternativa correta seria a “D”. As alternativas “A” e “B” poderiam ser descartadas de cara, já que iniciam com a regra “Permit any”. A alternativa “C” está errada pois a rede indicada como origem não confere com a rede do departamento “Accounting”. Resta a alternativa “D”. A ACL deve ser criada no router “Chicopee”, e aplicada em sua interface “e0?, no sentido de entrada (in):

    Chicopee(config)#access list 110 deny tcp 172.16.16.0 0.0.0.255 172.17.17.252 0.0.0.0 eq 80
    Chicopee(config)#access list 110 permit ip any any

    Quanto à aplicação

    Chicopee(config)#int e0
    Chicopee(config-if)#ip acces-group 110 in

    Por que no router Chicopee?

    Lembre-se que, listas de acesso estendidas devem – sempre que possível – ser aplicadas O MAIS PRÓXIMO DA ORIGEM do tráfego. No caso, o tráfego em questão (à ser bloqueado) é originado na rede do departamento “Accounting”, que tem o router Chicopee como default gateway. Assim sendo, o router Chicopee deve bloquear o acesso do tráfego HTTP com destino ao servidor 172.17.17.252, localizado no departamento “HR”. A aplicação da ACL o mais próximo possível da origem evita que o tráfego “não autorizado” circule pela rede.

    Notem que, esta mesma ACL, também funcionaria se aplicada no router “Holyoke”, em sua interface “e0”, na direção de saída (out), ou mesmo na interface “S1”, na direção de entrada. Em ambos os casos, o efeito seria o mesmo, ENTRETANTO, teríamos – neste caso – um tráfego desnecessário atravessando o router “Chicopee”. Este é o motivo de aplicar a ACL o mais próximo da origem possível.

    É interessante notar que, a 2a linha da ACL também poderia ser escrita desta forma:

    Chicopee(config)#access list 110 deny tcp 172.16.16.0 0.0.0.255 host 172.17.17.252 eq 80

    ou ainda:

    Chicopee(config)#access list 110 deny tcp 172.16.16.0 0.0.0.255 host 172.17.17.252 eq www

    Espero que tenha ficado claro!

    Obrigado à todos os que participaram! E aguardem o próximo desafio!

    Marco.

    0

    0
  23. diegomartine

    Acho q a correta é alternativa D, e deve ser aplicada no seu router na direção in.

    0

    0

Deixe uma resposta