Comments on: Desafio da Semana: ACL http://blog.ccna.com.br/2008/03/25/desafio-da-semana-acl/ Blog focado nos exames Cisco Tue, 06 Jan 2009 19:25:41 +0000 http://wordpress.org/?v=2.2.1 By: diegomartine http://blog.ccna.com.br/2008/03/25/desafio-da-semana-acl/#comment-2395 diegomartine Sun, 30 Mar 2008 23:40:18 +0000 http://blog.ccna.com.br/2008/03/25/desafio-da-semana-acl/#comment-2395 Acho q a correta é alternativa D, e deve ser aplicada no seu router na direção in. Acho q a correta é alternativa D, e deve ser aplicada no seu router na direção in.

]]> By: Marco Filippetti http://blog.ccna.com.br/2008/03/25/desafio-da-semana-acl/#comment-2392 Marco Filippetti Sun, 30 Mar 2008 17:19:31 +0000 http://blog.ccna.com.br/2008/03/25/desafio-da-semana-acl/#comment-2392 A alternativa correta seria a “D”. As alternativas “A” e “B” poderiam ser descartadas de cara, já que iniciam com a regra “Permit any”. A alternativa “C” está errada pois a rede indicada como origem não confere com a rede do departamento “Accounting”. Resta a alternativa “D”. A ACL deve ser criada no router “Chicopee”, e aplicada em sua interface “e0?, no sentido de entrada (in): Chicopee(config)#access list 110 deny tcp 172.16.16.0 0.0.0.255 172.17.17.252 0.0.0.0 eq 80 Chicopee(config)#access list 110 permit ip any any Quanto à aplicação Chicopee(config)#int e0 Chicopee(config-if)#ip acces-group 110 in Por que no router Chicopee? Lembre-se que, listas de acesso estendidas devem - sempre que possível - ser aplicadas O MAIS PRÓXIMO DA ORIGEM do tráfego. No caso, o tráfego em questão (à ser bloqueado) é originado na rede do departamento “Accounting”, que tem o router Chicopee como default gateway. Assim sendo, o router Chicopee deve bloquear o acesso do tráfego HTTP com destino ao servidor 172.17.17.252, localizado no departamento “HR”. A aplicação da ACL o mais próximo possível da origem evita que o tráfego “não autorizado” circule pela rede. Notem que, esta mesma ACL, também funcionaria se aplicada no router “Holyoke”, em sua interface “e0”, na direção de saída (out), ou mesmo na interface “S1”, na direção de entrada. Em ambos os casos, o efeito seria o mesmo, ENTRETANTO, teríamos - neste caso - um tráfego desnecessário atravessando o router “Chicopee”. Este é o motivo de aplicar a ACL o mais próximo da origem possível. É interessante notar que, a 2a linha da ACL também poderia ser escrita desta forma: Chicopee(config)#access list 110 deny tcp 172.16.16.0 0.0.0.255 host 172.17.17.252 eq 80 ou ainda: Chicopee(config)#access list 110 deny tcp 172.16.16.0 0.0.0.255 host 172.17.17.252 eq www Espero que tenha ficado claro! Obrigado à todos os que participaram! E aguardem o próximo desafio! Marco. A alternativa correta seria a “D”. As alternativas “A” e “B” poderiam ser descartadas de cara, já que iniciam com a regra “Permit any”. A alternativa “C” está errada pois a rede indicada como origem não confere com a rede do departamento “Accounting”. Resta a alternativa “D”. A ACL deve ser criada no router “Chicopee”, e aplicada em sua interface “e0?, no sentido de entrada (in):

Chicopee(config)#access list 110 deny tcp 172.16.16.0 0.0.0.255 172.17.17.252 0.0.0.0 eq 80
Chicopee(config)#access list 110 permit ip any any

Quanto à aplicação

Chicopee(config)#int e0
Chicopee(config-if)#ip acces-group 110 in

Por que no router Chicopee?

Lembre-se que, listas de acesso estendidas devem - sempre que possível - ser aplicadas O MAIS PRÓXIMO DA ORIGEM do tráfego. No caso, o tráfego em questão (à ser bloqueado) é originado na rede do departamento “Accounting”, que tem o router Chicopee como default gateway. Assim sendo, o router Chicopee deve bloquear o acesso do tráfego HTTP com destino ao servidor 172.17.17.252, localizado no departamento “HR”. A aplicação da ACL o mais próximo possível da origem evita que o tráfego “não autorizado” circule pela rede.

Notem que, esta mesma ACL, também funcionaria se aplicada no router “Holyoke”, em sua interface “e0”, na direção de saída (out), ou mesmo na interface “S1”, na direção de entrada. Em ambos os casos, o efeito seria o mesmo, ENTRETANTO, teríamos - neste caso - um tráfego desnecessário atravessando o router “Chicopee”. Este é o motivo de aplicar a ACL o mais próximo da origem possível.

É interessante notar que, a 2a linha da ACL também poderia ser escrita desta forma:

Chicopee(config)#access list 110 deny tcp 172.16.16.0 0.0.0.255 host 172.17.17.252 eq 80

ou ainda:

Chicopee(config)#access list 110 deny tcp 172.16.16.0 0.0.0.255 host 172.17.17.252 eq www

Espero que tenha ficado claro!

Obrigado à todos os que participaram! E aguardem o próximo desafio!

Marco.

]]> By: Rodrigo Falcão http://blog.ccna.com.br/2008/03/25/desafio-da-semana-acl/#comment-2345 Rodrigo Falcão Thu, 27 Mar 2008 11:51:27 +0000 http://blog.ccna.com.br/2008/03/25/desafio-da-semana-acl/#comment-2345 É verdade, então ficaria assim: Chicope(config)#access list 110 deny tcp 172.16.16.0 0.0.0.255 172.17.17.252 0.0.0.0 eq 80 Chicope(config)#access list 110 permit ip any any Chicope(config)#int e0 Chicope(config-if)#ip acces-group 110 in É verdade, então ficaria assim:

Chicope(config)#access list 110 deny tcp 172.16.16.0 0.0.0.255 172.17.17.252 0.0.0.0 eq 80
Chicope(config)#access list 110 permit ip any any
Chicope(config)#int e0
Chicope(config-if)#ip acces-group 110 in

]]> By: ferrugem http://blog.ccna.com.br/2008/03/25/desafio-da-semana-acl/#comment-2342 ferrugem Wed, 26 Mar 2008 20:15:07 +0000 http://blog.ccna.com.br/2008/03/25/desafio-da-semana-acl/#comment-2342 Pessoal, percebi que todos colocaram como destino na ACL o endereço do Web Server ( 172.17.18.252 /24 ), sendo que na verdade, o endereço tem que ser o do HR Server ( 172.17.17.252 /24 ) .. Assim como está na própria resposta da letra D! Abraços a todos!!! Pessoal, percebi que todos colocaram como destino na ACL o endereço do Web Server ( 172.17.18.252 /24 ), sendo que na verdade, o endereço tem que ser o do HR Server ( 172.17.17.252 /24 ) .. Assim como está na própria resposta da letra D!

Abraços a todos!!!

]]> By: eder.mlk http://blog.ccna.com.br/2008/03/25/desafio-da-semana-acl/#comment-2338 eder.mlk Wed, 26 Mar 2008 17:43:20 +0000 http://blog.ccna.com.br/2008/03/25/desafio-da-semana-acl/#comment-2338 É aplicado no router Chicope na interface ethernet0 no sentido Inbound. A configuração necessária é esta abaixo: Chicope(config)#access list 110 deny tcp 172.16.16.0 0.0.0.255 172.17.18.252 0.0.0.0 Chicope(config)#access list 110 permit ip any any Chicope(config)#interface eth0 Chicope(config-if)#ip acces-group 110 in Chicope(config-if)#end Chicope#wr É aplicado no router Chicope na interface ethernet0 no sentido Inbound.

A configuração necessária é esta abaixo:

Chicope(config)#access list 110 deny tcp 172.16.16.0 0.0.0.255 172.17.18.252 0.0.0.0
Chicope(config)#access list 110 permit ip any any
Chicope(config)#interface eth0
Chicope(config-if)#ip acces-group 110 in
Chicope(config-if)#end
Chicope#wr

]]> By: Rodrigo Falcão http://blog.ccna.com.br/2008/03/25/desafio-da-semana-acl/#comment-2337 Rodrigo Falcão Wed, 26 Mar 2008 17:18:14 +0000 http://blog.ccna.com.br/2008/03/25/desafio-da-semana-acl/#comment-2337 Corrigindo: Chicope(config)#access list 110 deny ip 172.16.16.0 0.0.0.255 172.17.18.252 0.0.0.0 Chicope(config)#access list 110 permit ip any any Chicope(config)#int e0 Chicope(config-if)#ip acces-group 110 in Abrçs Corrigindo:

Chicope(config)#access list 110 deny ip 172.16.16.0 0.0.0.255 172.17.18.252 0.0.0.0
Chicope(config)#access list 110 permit ip any any
Chicope(config)#int e0
Chicope(config-if)#ip acces-group 110 in

Abrçs

]]> By: Rodrigo Falcão http://blog.ccna.com.br/2008/03/25/desafio-da-semana-acl/#comment-2336 Rodrigo Falcão Wed, 26 Mar 2008 17:15:46 +0000 http://blog.ccna.com.br/2008/03/25/desafio-da-semana-acl/#comment-2336 Chicope(config)#access list 110 deny tcp 172.16.16.0 0.0.0.255 172.17.18.252 0.0.0.0 eq 80 Chicope(config)#access list 110 permit ip any any Chicope(config)#int e0 Chicope(config-if)#ip acces-group 110 in Chicope(config)#access list 110 deny tcp 172.16.16.0 0.0.0.255 172.17.18.252 0.0.0.0 eq 80
Chicope(config)#access list 110 permit ip any any
Chicope(config)#int e0
Chicope(config-if)#ip acces-group 110 in

]]> By: Rodrigo Falcão http://blog.ccna.com.br/2008/03/25/desafio-da-semana-acl/#comment-2335 Rodrigo Falcão Wed, 26 Mar 2008 15:08:46 +0000 http://blog.ccna.com.br/2008/03/25/desafio-da-semana-acl/#comment-2335 Opção D router Chicopee / interface e0 (lista estendida - mais próxima da origem) / IN Acredito que tanto faz vc colocar “172.17.17.252 0.0.0.0? ou “host 172.17.17.252?. Valeu! Opção D
router Chicopee / interface e0 (lista estendida - mais próxima da origem) / IN
Acredito que tanto faz vc colocar “172.17.17.252 0.0.0.0? ou “host 172.17.17.252?.

Valeu!

]]> By: theo.costa http://blog.ccna.com.br/2008/03/25/desafio-da-semana-acl/#comment-2334 theo.costa Wed, 26 Mar 2008 13:49:53 +0000 http://blog.ccna.com.br/2008/03/25/desafio-da-semana-acl/#comment-2334 Concordo com todos que dizem como resposta certa a letra D. Router Chicopee / Interface e0 / IN Mas restou-me uma dúvida...poderia trocar o "172.17.17.252 0.0.0.0" por "host 172.17.17.252"? ;) Concordo com todos que dizem como resposta certa a letra D.
Router Chicopee / Interface e0 / IN
Mas restou-me uma dúvida…poderia trocar o “172.17.17.252 0.0.0.0″ por “host 172.17.17.252″?
;)

]]> By: hugo_hrc http://blog.ccna.com.br/2008/03/25/desafio-da-semana-acl/#comment-2333 hugo_hrc Wed, 26 Mar 2008 11:50:25 +0000 http://blog.ccna.com.br/2008/03/25/desafio-da-semana-acl/#comment-2333 Letra D. Router Chicopee interface e0 IN Abraços Letra D.
Router Chicopee
interface e0
IN

Abraços

]]>