«

»

mar 29 2009

[CCNA] Desafio 1 da Semana 5 – Março de 2009

Caros amigos, o desafio desta semana será um pouco diferente! Ao invés de uma questão estilo “múltipla escolha”, vou complicar um pouquinho! Não chega a ser um “Mega-Desafio”, mas dará um pouco mais de trabalho 😉 ! A idéia para este desafio surgiu na última aula do preparatório CCNA que estou ministrando, aos Sábados – portanto, quem está participando tem que acertar esta questão, ehn! Senão fico mal na fita rsrsrsrs.

Aproveito para lembrar à todos que esta próxima terça, dia 31/03, é o ÚLTIMO DIA para inscrição no Programa de Bolsas FUNCERTI. Já no dia 02/04 vou publicar a lista com os nomes selecionados nesta 1a etapa.

O assunto deste desafio é ACLs (Listas de Acesso), notadamente um assunto que muitos costumam ter dificuldades.

Observe o diagrama abaixo:

desafio.gif

Sua meta é criar uma ACL (pode ser nomeada ou numerada, tanto faz) que, uma vez implementada, atinja os seguintes objetivos:

a) Negue pacotes originados por H1 de acessarem os serviços WEB no servidor SRVR.

b) Negue o acesso TELNET originados por qualquer máquina da rede que não seja H1 com destino ao servidor SRVR.

c) Permita o acesso FTP em SRVR apenas aos hosts presentes na mesma rede de H3 e H4.

d) Permita todo e qualquer acesso restante a todos da rede (ex: H1 deve acessar H4 e H5).

Considere todas as redes do diagrama como tendo máscara /24. Defina a ACL, o(s) roteador(es) onde será aplicada, interface(s) e sentido (IN / OUT), e submeta a resposta em forma de comment, neste post mesmo. Domingo que vem discutimos a resposta.

Bom trabalho!

Boa semana para todos,

Marco.



Comente usando o Facebook!
0
0

33 comentários

Pular para o formulário de comentário

  1. Bruno Leonardo Leal

    Segue meu LAB. Não fiz o teste no PT. Espero que esteja tudo ok. =)

    R1

    int fa0/0
    ip access-group R1-fa0/0 in

    ip access-list extended R1-fa0/0
    deny tcp host 192.168.10.1 host 192.168.30.1 eq 80
    permit tcp host 192.168.10.1 host 192.168.30.1 eq 23
    deny tcp any host 192.168.30.1 eq 23
    deny tcp any host 192.168.30.1 eq 20
    deny tcp any host 192.168.30.1 eq 21
    permit ip any any

    —————————

    R2

    int fa0/0
    ip access-group R2-fa0/0 in

    ip access-list extended R2-fa0/0
    deny tcp any host 192.168.30.1 eq 23
    permit ip any any

    int fa0/1
    ip access-group R2-fa0/1 in

    ip access-list exntended R2-fa0/1
    permit ip any any

    0

    0
  2. Herbert

    Acredito que nesta situação deve ser utilizada uma access-list extended.

    Esta deve-se ser colocada na interface F0/1 do router R2 no sentido de saída para melhor gerenciamento. Uma vez que seja necessária uma mudança, somente uma access-list precisará ser modificada, diminuindo possíveis erros.

    Segue a access-list 110:

    R2(config)#access-list 110 deny tcp host 192.168.10.1 host 192.168.30.1 eq 80
    R2(config)#access-list 110 permit tcp host 192.168.10.1 host 192.168.30.1 eq 23
    R2(config)#access-list 110 permit tcp 192.168.20.0 0.0.0.255 host 192.168.30.1 range 20 21
    R2(config)#access-list 110 permit ip any any

    Configuração na interface F0/1:

    R2(config)#interface fastEthernet 0/1
    R2(config-if)#ip access-group 110 out

    Espero não ter errado nada.

    0

    0
  3. Bruno Freixo

    De cabeça aqui vai:

    Preferi negar o tráfego logo na entrada no R1 para não gerar tráfego desnecessário no link entre R1 e R2. (Pelo menos meus clientes vivem com os links saturados, então é sempre bom evitar)

    Roteador R1:
    r1(config)#access-list 101 deny tcp host 192.168.10.1 host 192.168.30.1 eq www
    r1(config)#access-list 101 permit ip any any
    r1(config)#interface FastEthernet0/0
    r1(config-if)#ip access-group 101 in

    Roteador R2:
    r2(config)#access-list 101 permit tcp 192.168.20.0 0.0.0.255 host 192.168.30.1 eq ftp
    r2(config)#access-list 101 permit tcp host 192.168.10.1 host 192.168.30.1 eq telnet
    r2(config)#access-list 101 deny tcp any host 192.168.30.1 eq telnet
    r2(config)#access-list 101 permit ip any any
    r2(config)#interface FastEthernet0/1
    r2(config-if)#ip access-group 101 out

    Bom, é isso ai, vamos ver domingo que vem!

    []´s

    0

    0
  4. alexandre.nobrega

    Extended IP access list CCNA-R1
    deny tcp host 192.168.10.1 host 192.168.30.1 eq www
    permit tcp host 192.168.10.1 host 192.168.30.1 eq telnet
    deny tcp any host 192.168.30.1 eq telnet
    deny tcp any host 192.168.30.1 eq ftp
    permit ip any any
    Aplicar na interface F0/0 do Router R1 sentido IN.

    Extended IP access list CCNA-R2
    deny tcp any host 192.168.30.1 eq telnet
    permit tcp 192.168.20.0 0.0.0.255 host 192.168.30.1 eq ftp
    permit ip any any
    Aplicar na interface F0/0 do Router R2 sentido IN.

    Fiz as configurações baseando-me na premissa de utilizar as ACL’s extendidas sempre o mais próximo possível da origem. =]

    Marco, somente fiquei com uma dúvida, o host H5 está na mesma vlan do server? creio que sim, e caso esteja, acho que seria possível bloquear o tráfego entre o dito host e o server utilizando-se de VACL’s correto?

    Por favor me avise se eu estiver equivocado, posso estar com sono demais =]

    0

    0
  5. André Ortega

    R1===============================================

    conf t
    access-list 101 deny tcp host 192.168.10.1 host 192.168.30.1 eq 80
    access-list 101 permit ip any any

    int f0/0
    ip access-group 101 in
    end

    wr

    R2=================================================

    conf t
    access-list 101 permit tcp host 192.168.10.1 host 192.168.30.1 eq 23
    access-list 101 deny tcp any host 192.168.30.1 eq 23
    access-list 101 permit tcp 192.168.20.0 0.0.0.255 host 192.168.30.1 range 20 21

    int f0/1
    ip access-group 101 out
    end

    wr

    Só não entendi a parte do liberar todo o resto… (qual é o resto??)… por isso no R2 não liberei tudo no fim.

    http://www.brainwork.com.br/blog

    0

    0
  6. danielfco

    Boa tarde a todos! a pouco tempo comecei a frequentar o blog, mas nunca tinha postado e hoje acabei me interessando hehehe, segue minhas configurações (espero que estejam certas =D)

    R1
    int fa0/0
    access-list 101 deny tcp host 192.168.10.1 gt 1024 host 192.168.30.1 eq 80
    access-list 101 deny tcp host 192.168.10.1 gt 1024 host 192.168.30.1 eq 443
    access-list 101 permit tcp host 192.168.10.1 gt 1024 host 192.168.30.1 eq 23
    access-list 101 deny tcp host 192.168.10.0 gt 1024 host 192.168.30.1 eq 23
    access-list 101 deny tcp 192.168.20.0 0.0.0.255 gt 1024 host 192.168.30.1 eq 20
    access-list 101 deny tcp 192.168.20.0 0.0.0.255 gt 1024 host 192.168.30.1 eq 21
    access-list 101 permit any any

    R2
    int fa0/0
    access-list 101 deny tcp 192.168.20.0 0.0.0.255 gt 1024 host 192.168.30.1 eq 23
    access-list 101 permit tcp 192.168.20.0 0.0.0.255 gt 1024 host 192.168.30.1 eq 20
    access-list 101 permit tcp 192.168.20.0 0.0.0.255 gt 1024 host 192.168.30.1 eq 21
    access-list 101 permit any any

    int fa0/1
    access-list 101 permit any any

    0

    0
  7. danielfco

    opa, nao coloquei os sentidos (IN/OUT), desculpem =/

    R1
    int f0/0
    ip access-group 101 in
    ________________________________

    R2
    int f0/1
    ip access-group 101 in
    end

    int f0/1
    ip access-group 101 out
    end

    0

    0
  8. Herbert

    Gostaria de fazer uma pergunta : O objetivo B pode ser alcançado ?

    A máquina H5 não poderia fazer acessos indevidos por estar na mesma VLAN do server e, assim, não necessitar do router R2 para realizar o encaminhamento de pacotes ?

    0

    0
  9. Rodrigo Ribaz

    r1(config)#access-list 101 deny tcp host 192.168.10.1 host 192.168.30.1 eq 80
    r1(config)#access-list 101 permit ip any any

    r1(config)#interface FastEthernet0/0
    r1(config-if)#ip access-group 100 in

    r2(config)#access-list 100 permit tcp 192.168.20.0 0.0.0.255 host 192.168.30.1 eq ftp
    r2(config)#access-list 100 permit tcp host 192.168.10.1 host 192.168.30.1 eq 23
    r2(config)#access-list 100 deny tcp any host 192.168.30.1 eq 23
    r2(config)#access-list 100 permit ip any any

    r2(config)#interface FastEthernet0/1
    r2(config-if)#ip access-group 100 out

    0

    0
  10. roboxtz

    Bom aí esta a minha opinião.

    Satisfazendo condição “A e D”:

    access-list 101 deny tcp host 192.168.10.1 host 192.168.30.1 eq 80
    access-list 101 permit ip any any
    interface F0/0 do R1>access-group 101 in

    Satisfazendo condição “B,C,D”:

    access-list 102 permit tcp 192.168.20.0 0.0.0.255 192.168.30.1 eq 21
    access-list 102 permit tcp host 192.168.10.1 host 192.168.30.1 eq 23
    access-list 102 deny tcp any host 192.168.30.1 eq 23
    access-list 102 permit ip any any
    interface F0/1 do R2>access-group 102 out

    0

    0
  11. roboxtz

    Bom aí esta minha opinião.

    Satisfazendo condição “A e D”:

    access-list 101 deny tcp host 192.168.10.1 host 192.168.30.1 eq 80
    access-list 101 permit ip any any
    interface F0/0 do R1>access-group 101 in

    Satisfazendo condição “B,C,D”:

    access-list 102 permit tcp 192.168.20.0 0.0.0.255 192.168.30.1 eq 21
    access-list 102 permit tcp host 192.168.10.1 host 192.168.30.1 eq 23
    access-list 102 deny tcp any host 192.168.30.1 eq 23
    access-list 102 permit ip any any
    interface F0/1 do R2>access-group 102 out

    0

    0
  12. Flávio

    Eu acho que é isso! Pelo menos é o que eu entendi sobre ACL, preferi aplicar as ACL’s conforme determina a regra, ou seja, mais próximo da origem, apenas para evitar a carga desnecessária no link serial, porém também funcionária se aplica-se apenas uma ACL na fa0/1 do R2.

    R1(config)#access-list 100 deny tcp 192.168.10.1 0.0.0.0 192.168.30.1 0.0.0.0 eq 80

    R1(config)#access-list 100 permit tcp 192.168.10.1 0.0.0.0 192.168.30.1 0.0.0.0 eq 23

    R1(config)#access-list 100 deny tcp any 192.168.30.1 0.0.0.0 eq 23

    R1(config)#access-list 100 deny tcp any 192.168.30.1 0.0.0.0 eq 20 eq 21

    R1(config)#access-list 100 permit ip any any

    R1(config)#int fa0/0
    R1(config-if)#ip access-group 100 in

    R2(config)#access-list 100 deny tcp any 192.168.30.1 0.0.0.0 eq 23

    R2(config)#access-list 100 permit tcp 192.168.20.0 0.0.0.255 192.168.30.1 0.0.0.0 eq 20 eq 21

    R2(config)#access-list 100 deny tcp any 192.168.30.1 0.0.0.0 eq 21 eq 20

    R2(config)#access-list 100 permit ip any any

    R2(config)#int fa0/1
    R2(config-if)#ip access-group 100 in

    0

    0
  13. Marcos oliveira

    Para mim a primeira coisa é ver origem e destino do trafego para saber onde e em que
    sentido aplicar a ACL, não esquecendo da ordem em que as regras são escritas pois isso tambem é muito importante

    #acc 100 per tcp host 192.168.10.1 host 192.168.30.1 eq 23
    #acc 100 dey tcp host 192.168.10.1 host 192.168.30.1 eq 80
    #acc 100 pern tcp 192.168.20.0 0.0.0.255 host 192.168.30.1 range ftp-data ftp

    #acc 100 perm tcp host 192.168.10.1 host 192.168.30.5

    #conf t
    #int f 0/1
    #ip acc 100 out

    Eu aplicaria de dessa manera

    0

    0
  14. Bruno N. Paiuca

    Aplicada ACL extendida nos dois routers.

    Não liberei os demais trafegos no R2 porque o mesmo não foi solicitado no enunciado.

    R1 –

    access-list 100 deny tcp host 192.168.10.1 192.168.30.1 0.0.0.0 eq 80
    access-list 100 permit ip any any
    int f0/0
    ip access-group 100 in

    r2

    access-list 100 permit tcp host 192.168.0.10.1 192.168.30.1 0.0.0.0 eq 23

    access-list 100 permit tcp 192.168.20.0 0.0.0.255 192.168.30.1 0.0.0.0 eq ftp
    (Demais tipos de trafego são bloqueados pelo deny implicito)

    int f0/1
    ip access-group 100 out

    0

    0
  15. carcara

    Bom pessoal eu não lembro direito como faz acl, atualmente estou mexendo com linux, e tbm estou no trabalho e com preguiça de ver como faz certinho…. mas assim mesmo quero responder… vou responder so na teoria.
    a)
    deny 192.168.10.1 destination 192.168.30.1 port 80 no input do R1

    b)
    permit 192.168.10.1 destination 192.168.30.1 port 23 no input do R2
    deny any any port 23 input R2

    permit 192.168.10.1 destination 192.168.30.1 port 23 input do R1
    deny any any port 23 input R1

    Vlan em todos os switchs para ninguém acessar ninguém

    c)
    permit 192.168.20.0/24 destination 192.168.30.1 port 21 saida do R2
    deny any any port 21 destination 192.168.30.1 saida do R2
    permit any any (este por ultimo de tudo)

    Vlans ja criadas

    d)
    permit any any no final da acl dos dois roteadores

    Esta parte não me lembro direito, para um pc na mesma rede poder acessar o outro acho q tem que cria as vlans na interface do roteador para ele liberar o acesso para as mesmas redes.

    Vlw, espero que tenha algo correto.

    0

    0
  16. marcos-freire

    Utilizei uma lista de acesso nomeada estendida para melhor gerenciamento.

    Criei uma lista acesso estendida com o nome bloqueio_web, onde bloqueio o host H1 o uso do servidor web e em seguida informo para permitir todos os outros hosts e apliquei no R1 na interface fa0/0 para evitar o trafego desnecessário na rede.

    Criei uma lista de acesso bloqueio_telnet_ftp onde filtro o trafego do Telnet e FTP. Apliquei no R2 na interface fa0/1 onde passa todo o trafego em direção ao Servidor.

    A comunicação entre os outros hosts não sera afetada após a aplicação da lista de acesso.

    R1(config)#ip access-list extended bloqueio_web
    R1(config-ext-nacl)#deny tcp host 192.168.10.1 host 192.168.30.1 eq 80
    R1(config-ext-nacl)#permit ip any any
    R1(config)#int fa0/0
    R1(config-if)#ip access-group bloqueio_web in

    R2(config)#ip access-list extended bloqueio_telnet_ftp
    R2(config-ext-nacl)#permit tcp host 192.168.10.1 host 192.168.30.1 eq 23
    R2(config-ext-nacl)#permit tcp 192.168.20.0 0.0.0.255 host 192.168.30.1 eq 21
    R2(config-ext-nacl)#deny tcp any host 192.168.30.1 eq 23
    R2(config-ext-nacl)#deny tcp any host 192.168.30.1 eq 21
    R2(config-ext-nacl)#permit ip any any
    R2(config)#int fa0/1
    R2(config-if)#ip access-group bloqueio_telnet_ftp out

    Espero ter acertado a questão.

    0

    0
  17. daft_pt

    NO R2
    Extended IP access list TELNET_SO_H1
    deny tcp 192.168.20.0 0.0.0.255 host 192.168.30.1 eq telnet (22 match(es))
    deny tcp 192.168.30.0 0.0.0.255 host 192.168.30.1 eq telnet
    deny tcp 192.168.30.0 0.0.0.255 host 192.168.30.1 eq ftp
    permit tcp any any
    int f 0/1
    ip access-group TELNET_SO_H1 out

    No R1
    Extended IP access list HTTP_NEGADO_H1
    deny tcp host 192.168.10.1 host 192.168.30.1 eq www (269 match(es))
    permit tcp host 192.168.10.1 host 192.168.30.1 eq telnet
    deny tcp 192.168.10.0 0.0.0.255 host 192.168.30.1 eq telnet (11 match(es))
    deny tcp 192.168.10.0 0.0.0.255 host 192.168.30.1 eq ftp (22 match(es))
    permit tcp any any (460 match(es))
    int f0/0
    ip access-group HTTP_NEGADO_H1 in

    Penso estar bem, apesar de fazer este LAB no packet trace não testei tudo

    Marco uma pergunta, os pacotes da rede .30 vão para o .30.1 só pelo switch?ou passa pelo router?

    0

    0
  18. amarantes2001

    ip access-list extended bloqueia_WWW_SRVR
    deny tcp 192.168.10.1 192.168.30.1 eq 80
    permit ip any any

    R1 – F0/0 ip access-group bloqueia_WWW_SRVR in

    ip access-list extended bloqueia_ftp_telnet_SRVR
    permit tcp 192.168.10.1 192.168.30.1 eq 23
    deny tcp any 192.168.30.1 eq 23
    permit tcp 192.168.20.0 0.0.0.255 192.168.30.1 eq 21
    deny tcp any 192.168.30.1 eq 21
    permit ip any any

    R2 – F0/1 ip access-group bloqueia_ftp_telnet_SRVR out

    OBS: nao consegui bloquear ftp e telnet de H5 com destino a SRVR
    (soluçao que pensei: VLANS e R2 roteando esta vlan)

    0

    0
  19. Thiago

    bom tentei fazer aplicando as regras somenta a interface fa 0/0 no router R2

    EM R2

    ip access-list extended ACL
    deny tcp host 192.168.10.1 host 192.168.30.1 eq www
    permit tcp host 192.168.10.1 host 192.168.30.1 eq telnet
    deny tcp any host 192.168.30.1 eq telnet
    permit tcp 192.168.20.0 0.0.0.255 host 192.168.30.1 eq ftp
    permit ip any any

    int fa 0/0
    access-group ACL out

    é isso, agora é esperar a resposta

    abs

    0

    0
  20. Hamilton Rocha

    Vamos lá:

    R1
    access-list 101 deny tcp host 192.168.10.1 host 192.168.30.1 eq 80
    access-list 101 permit ip any any

    interface fastethernet 0/0
    ip access-group 101 in

    R2

    access-list 101 permit tcp host 192.168.10.1 host 192.168.30.1 eq 23
    access-list 101 deny tcp any 192.168.30.1 eq 23
    access-list 101 permit tcp 192.168.20.0 0.0.0.255 host 192.168.30.1 eq range 20 21
    access-list 101 permit ip any any

    interface fastethernet 0/1
    ip access-group 101 out

    Um abraço a todos,

    0

    0
  21. marciomoura

    A configuração no r1 e r2 seria a seguinte.

    R1
    int fa0/0
    access-list 101 deny tcp host 192.168.10.1 gt 1024 host 192.168.30.1 eq 80
    access-list 101 deny tcp host 192.168.10.1 gt 1024 host 192.168.30.1 eq 443
    access-list 101 permit tcp host 192.168.10.1 gt 1024 host 192.168.30.1 eq 23
    access-list 101 deny tcp host 192.168.10.0 gt 1024 host 192.168.30.1 eq 23
    access-list 101 deny tcp 192.168.20.0 0.0.0.255 gt 1024 host 192.168.30.1 eq 20
    access-list 101 deny tcp 192.168.20.0 0.0.0.255 gt 1024 host 192.168.30.1 eq 21
    access-list 101 permit any any

    R2
    int fa0/0
    access-list 101 deny tcp 192.168.20.0 0.0.0.255 gt 1024 host 192.168.30.1 eq 23
    access-list 101 permit tcp 192.168.20.0 0.0.0.255 gt 1024 host 192.168.30.1 eq 20
    access-list 101 permit tcp 192.168.20.0 0.0.0.255 gt 1024 host 192.168.30.1 eq 21
    access-list 101 permit any any

    int fa0/1
    access-list 101 permit any any

    0

    0
  22. EmersonAp

    – Acredito que seja esta a resposta:

    access-list 101 deny tcp host 192.168.10.1 host 192.168.30.1 eq 80
    access-list 101 permit tcp host 192.168.10.1 host 192.168.30.1 eq 23
    access-list 101 deny tcp any any eq 23
    access-list 101 permit tcp host 192.168.20.3 host 192.168.30.1 eq 21
    access-list 101 permit tcp host 192.168.20.4 host 192.168.30.1 eq 21
    access-list 101 deny tcp any any eq 21
    access-list 101 permit tcp any any

    R2(config) interface fastethernet 0/1
    ip access-group 101 out

    0

    0
  23. Moisés

    a) Negue pacotes originados por H1 de acessarem os serviços WEB no servidor SRVR.

    R1(config)#access-list 101 deny tcp host 192.168.10.1 host 192.168.30.1 eq 80
    R1(config)#access-list 101 permit any any

    R1(config)#interface FastEthernet 0/0
    R1(config-if)#ip access-group 101 in

    b) Negue o acesso TELNET originados por qualquer máquina da rede que não seja H1 com destino ao servidor SRVR.

    R2(config)#access-list 101 deny tcp any host 192.168.30.1 eq 23
    R2(config)#access-list 101 permit tcp host 192.168.10.1 host 192.168.30.1 eq 23
    R2(config)#access-list 101 permit any any

    R2(config)#interface FastEthernet 0/1
    R2(config-if)#ip access-group 101 out

    c) Permita o acesso FTP em SRVR apenas aos hosts presentes na mesma rede de H3 e H4.

    R2(config)#access-list 102 deny ftp any host 192.168.30.1 eq 21
    R2(config)#access-list 102 permit ftp 192.168.20.0 0.0.0.255 host 192.168.30.1 eq 21
    R2(config)#access-list 102 permit any any

    R2(config)#interface FastEthernet 0/1
    R2(config-if)#ip access-group 102 out

    d) Permita todo e qualquer acesso restante a todos da rede (ex: H1 deve acessar H4 e H5).

    acho que está ok

    uma dúvida referente ao host H5, se ele estiver configurado sem gateway,
    por estar conectado no Switch22, o mesmo em que o servidor
    está conectado, ele tem acesso a www, ftp e telnet?

    0

    0
  24. leromao

    Premissa A: Preferi configurar no R1 em específico para nao gerar tráfego desnecessário na rede, seguindo a premissa de aplicá-la mais próximo de sua origem, mas com a desvantagem de tê-la configurada de forma descentralizada.

    R1(config)#
    access-list 101 deny tcp 192.168.10.1 0.0.0.0 192.168.30.1 0.0.0.0 eq 80
    access-list 101 permit ip any any

    int fa0/0
    R1(config-if)#ip access-group 101 in

    Premissa B, C e D;

    R2(config)#
    access-list 101 deny tcp 192.168.10.1 0.0.0.0 192.168.30.1 0.0.0.0 eq 23
    access-list 101 permit tcp 192.168.20.0 0.0.0.255 192.168.30.1 0.0.0.0 eq 21
    access-list 101 permit tcp ip any any

    int f0/1
    R2(config-if)ip access-group 101 out

    0

    0
  25. Marco Filippetti

    Pessoal, tivemos uma participação “tímida” neste desafio…! O que percebo é que quando coloco questões mais elaboradas ou trabalhosas, as pessoas “fogem”! Não deixem as questões intimidá-los! Lembrem-se que, no exame real, timidez é recompensada com BOMBA (e não a de chocolate 😉 )!!

    Este exercício poderia ter sido resolvido de “n” modos diferentes. Não tenho tempo para corrigir cada uma das respostas, mas segue uma sugestão de resposta correta. Aqui, devemos sair um pouco da recomendação que ACLs estendidas devem ser aplicadas o mais próximo da origem. Neste caso, criar e aplicar uma única ACL, e o mais próximo do destino (SRVR), parece ser a saída mais lógica.

    Prós: Menos trabalho (apenas 1 ACL é criada, e apenas 1 router a terá implementada)
    Contras: O tráfego vai percorrer a rede antes de ser bloqueado.

    Resposta sugerida:

    EM R2:

    ip access-list extended LISTA_DE_ACESSO
     description NEGA ACESSO H1 AO SRVR WWW
     deny   tcp host 192.168.10.1 host 192.168.30.1 eq www
     description PERMITE ACESSO H1 AO SRVR TELNET
     permit tcp host 192.168.10.1 host 192.168.30.1 eq 23
     description NEGA ACESSO TODO RESTO SRVR TELNET
     deny   tcp any host 192.168.30.1 eq 23
     description PERMITE ACESSO REDE H3_H4 SRVR FTP
     permit tcp 192.168.20.0 0.0.0.255 host 192.168.30.1 eq 21
     description NEGA ACESSO RESTO SRVR FTP
     deny   tcp any host 192.168.30.1 eq 21
     description LIBERA TODO O TRAFEGO RESTANTE
     permit ip any any
    !
    int F0/1
     ip access-group LISTA_DE_ACESSO out
    !
    end
    

    0

    0
  26. carcara

    Marco, mas neste exemplo imagino que não fique completo..

    ex:
    Permita o acesso FTP em SRVR apenas aos hosts presentes na mesma rede de H3 e H4.

    H5 acessa SRVR tranquilamente… to errado?

    para não acessar precisa de vlan no switch.

    abraço

    0

    0
  27. A. Carvalho

    Concordo contigo ‘carcara’, realmente o H5 faz uso normal do FTP caso ele precise.

    Marco, e então, é isso mesmo não? Ou seja, com isso a ACL não está completa, na verdade está, porém com um detalhe a ser visto, pois ele pede que apenas H3 e H4 tenham acesso ao FTP em SRVR.

    Vamos aguardo o pronunciamento do Marco quanto a isso.

    Abraços e parabéns pelo desafio, me ajudou muito com ACLs.

    0

    0
  28. Marco Filippetti

    Pessoal / Carcara

    Você está certo. H5 acessa TUDO de SRVR normalmente. ENTRETANTO, atenha-se ao fato que H5 encontra-se NO MESMO SEGMENTO de SRVR, e por isso, suas solicitações ao mesmo NÃO ATRAVESSAM ROUTER ALGUM. Assim sendo, nenhum acesso de H5 ao SRVR seria sujeito à examinação de uma ACL em qualquer um dos 2 routers e, por isso, não temos como bloquear o acesso de H5 ao SRVR (à não ser que implementássemos este bloqueio no próprio SRVR, o que sai fora do escopo do exercício).

    Abs e parabéns pelas observações!

    Marco.

    0

    0
  29. A. Carvalho

    Uma dúvida, no final temos a linha “permit ip any any”. Qual a diferença de usarmos “permit ip any any e permit tcp any any? Qdo uso IP, qdo uso TCP, é sempre necessário dois ANY, estou estudando ACL e pintou está dúvida.

    Abraços!

    0

    0
  30. Marco Filippetti

    Alan,

    Se vc usar o permit tcp any any vc ainda está sendo muito restrito. Ex: Pacotes UDP não passariam. Com o permit ip any any, vc libera tudo.

    Tem que ter 2 any pois estamos falando de uma ACL estendida (temos origem e destino).

    Abs!

    0

    0
  31. A. Carvalho

    Entendi, sanada minha dúvida.

    Obrigado Marco.

    Abraços!

    0

    0
  32. wstaenle

    Fiz o teste e rolou de boa no meu router , minha duvida agora é implantar em uma switch layer 3 de 24 portas . É possivel ?

    0

    0
  33. felipe.vella

    Marco, desculpe a demora ..
    estou revisando para a prova que vou prestar na terça feira dia 22/12 e me ocorreu algo..
    implementei a ACL da mesma maneira que você apenas com uma pequena diferença..

    Não teriamos que criar as seguintes linhas:

    permit tcp 192.168.20.0 0.0.0.255 host 192.168.30.1 eq 20

    deny tcp any host 192.168.30.1 eq 20

    alem das que você criou para que a ACL funcione a contento?

    Pois se eu tentar acessar o SRVR fora do segmento H3 H4 via FTP pela porta 20,visto que FTP utiliza as portas TCP 20 e 21, eu acessaria tranquilamente..

    Estou errado?

    Abraços

    0

    0

Deixe uma resposta