[CCNA] Desafio 1 da Semana 5 - Março de 2009
Postado por: Marco Filippetti em Desafios, Exame CCNA -
Imprima este post
Caros amigos, o desafio desta semana será um pouco diferente! Ao invés de uma questão estilo “múltipla escolha”, vou complicar um pouquinho! Não chega a ser um “Mega-Desafio”, mas dará um pouco mais de trabalho 
! A idéia para este desafio surgiu na última aula do preparatório CCNA que estou ministrando, aos Sábados - portanto, quem está participando tem que acertar esta questão, ehn! Senão fico mal na fita rsrsrsrs.
Aproveito para lembrar à todos que esta próxima terça, dia 31/03, é o ÚLTIMO DIA para inscrição no Programa de Bolsas FUNCERTI. Já no dia 02/04 vou publicar a lista com os nomes selecionados nesta 1a etapa.
O assunto deste desafio é ACLs (Listas de Acesso), notadamente um assunto que muitos costumam ter dificuldades.
Observe o diagrama abaixo:
Sua meta é criar uma ACL (pode ser nomeada ou numerada, tanto faz) que, uma vez implementada, atinja os seguintes objetivos:
a) Negue pacotes originados por H1 de acessarem os serviços WEB no servidor SRVR.
b) Negue o acesso TELNET originados por qualquer máquina da rede que não seja H1 com destino ao servidor SRVR.
c) Permita o acesso FTP em SRVR apenas aos hosts presentes na mesma rede de H3 e H4.
d) Permita todo e qualquer acesso restante a todos da rede (ex: H1 deve acessar H4 e H5).
Considere todas as redes do diagrama como tendo máscara /24. Defina a ACL, o(s) roteador(es) onde será aplicada, interface(s) e sentido (IN / OUT), e submeta a resposta em forma de comment, neste post mesmo. Domingo que vem discutimos a resposta.
Bom trabalho!
Boa semana para todos,
Marco.
Popularity: 4% [?]
Leia também:
- [CCNA] Desafio 1 da Semana 3 - Março de 2009
- [CCNA] Desafio 1 - Semana 1 - Agosto 2009
- [CCNA] Desafio 2 da Semana 3 - Janeiro de 2010
- [CCNA] Desafio 1 da Semana 4 - Maio de 2009
- [CCNA] Desafio 1 da Semana 4 - Janeiro de 2009
- [CCNA] Desafio 1 da Semana 1 - Dezembro de 2008
- [CCNA] Desafio 1 da Semana 5 - Agosto de 2009
- [CCNA] Desafio 1 da Semana 5 - Janeiro de 2009
- [CCNA] Desafio 1 da Semana 2 - Outubro de 2008
- [CCNA] Desafio 1 da Semana 1 - Fevereiro de 2009
- [CCNA] Desafio 1 da Semana 1 - Junho de 2009
- [CCXP] Desafio 1 da Semana 4 - Agosto de 2008
- [CCNA] Desafio 1 da Semana 1 - Novembro de 2009
- [CCNA] Desafio 1 da semana 3 - Novembro 2008
- [CCNA] Desafio 1 da Semana 1 - Outubro de 2008
29 de March de 2009 às 8:46 pm
Segue meu LAB. Não fiz o teste no PT. Espero que esteja tudo ok. =)
R1
int fa0/0
ip access-group R1-fa0/0 in
ip access-list extended R1-fa0/0
deny tcp host 192.168.10.1 host 192.168.30.1 eq 80
permit tcp host 192.168.10.1 host 192.168.30.1 eq 23
deny tcp any host 192.168.30.1 eq 23
deny tcp any host 192.168.30.1 eq 20
deny tcp any host 192.168.30.1 eq 21
permit ip any any
—————————
R2
int fa0/0
ip access-group R2-fa0/0 in
ip access-list extended R2-fa0/0
deny tcp any host 192.168.30.1 eq 23
permit ip any any
int fa0/1
ip access-group R2-fa0/1 in
ip access-list exntended R2-fa0/1
permit ip any any
30 de March de 2009 às 12:03 am
Acredito que nesta situação deve ser utilizada uma access-list extended.
Esta deve-se ser colocada na interface F0/1 do router R2 no sentido de saída para melhor gerenciamento. Uma vez que seja necessária uma mudança, somente uma access-list precisará ser modificada, diminuindo possíveis erros.
Segue a access-list 110:
R2(config)#access-list 110 deny tcp host 192.168.10.1 host 192.168.30.1 eq 80
R2(config)#access-list 110 permit tcp host 192.168.10.1 host 192.168.30.1 eq 23
R2(config)#access-list 110 permit tcp 192.168.20.0 0.0.0.255 host 192.168.30.1 range 20 21
R2(config)#access-list 110 permit ip any any
Configuração na interface F0/1:
R2(config)#interface fastEthernet 0/1
R2(config-if)#ip access-group 110 out
Espero não ter errado nada.
30 de March de 2009 às 2:57 am
De cabeça aqui vai:
Preferi negar o tráfego logo na entrada no R1 para não gerar tráfego desnecessário no link entre R1 e R2. (Pelo menos meus clientes vivem com os links saturados, então é sempre bom evitar)
Roteador R1:
r1(config)#access-list 101 deny tcp host 192.168.10.1 host 192.168.30.1 eq www
r1(config)#access-list 101 permit ip any any
r1(config)#interface FastEthernet0/0
r1(config-if)#ip access-group 101 in
Roteador R2:
r2(config)#access-list 101 permit tcp 192.168.20.0 0.0.0.255 host 192.168.30.1 eq ftp
r2(config)#access-list 101 permit tcp host 192.168.10.1 host 192.168.30.1 eq telnet
r2(config)#access-list 101 deny tcp any host 192.168.30.1 eq telnet
r2(config)#access-list 101 permit ip any any
r2(config)#interface FastEthernet0/1
r2(config-if)#ip access-group 101 out
Bom, é isso ai, vamos ver domingo que vem!
[]´s
30 de March de 2009 às 5:21 am
Extended IP access list CCNA-R1
deny tcp host 192.168.10.1 host 192.168.30.1 eq www
permit tcp host 192.168.10.1 host 192.168.30.1 eq telnet
deny tcp any host 192.168.30.1 eq telnet
deny tcp any host 192.168.30.1 eq ftp
permit ip any any
Aplicar na interface F0/0 do Router R1 sentido IN.
Extended IP access list CCNA-R2
deny tcp any host 192.168.30.1 eq telnet
permit tcp 192.168.20.0 0.0.0.255 host 192.168.30.1 eq ftp
permit ip any any
Aplicar na interface F0/0 do Router R2 sentido IN.
Fiz as configurações baseando-me na premissa de utilizar as ACL’s extendidas sempre o mais próximo possível da origem. =]
Marco, somente fiquei com uma dúvida, o host H5 está na mesma vlan do server? creio que sim, e caso esteja, acho que seria possível bloquear o tráfego entre o dito host e o server utilizando-se de VACL’s correto?
Por favor me avise se eu estiver equivocado, posso estar com sono demais =]
30 de March de 2009 às 8:33 am
R1===============================================
conf t
access-list 101 deny tcp host 192.168.10.1 host 192.168.30.1 eq 80
access-list 101 permit ip any any
int f0/0
ip access-group 101 in
end
wr
R2=================================================
conf t
access-list 101 permit tcp host 192.168.10.1 host 192.168.30.1 eq 23
access-list 101 deny tcp any host 192.168.30.1 eq 23
access-list 101 permit tcp 192.168.20.0 0.0.0.255 host 192.168.30.1 range 20 21
int f0/1
ip access-group 101 out
end
wr
Só não entendi a parte do liberar todo o resto… (qual é o resto??)… por isso no R2 não liberei tudo no fim.
www.brainwork.com.br/blog
30 de March de 2009 às 1:29 pm
Boa tarde a todos! a pouco tempo comecei a frequentar o blog, mas nunca tinha postado e hoje acabei me interessando hehehe, segue minhas configurações (espero que estejam certas =D)
R1
int fa0/0
access-list 101 deny tcp host 192.168.10.1 gt 1024 host 192.168.30.1 eq 80
access-list 101 deny tcp host 192.168.10.1 gt 1024 host 192.168.30.1 eq 443
access-list 101 permit tcp host 192.168.10.1 gt 1024 host 192.168.30.1 eq 23
access-list 101 deny tcp host 192.168.10.0 gt 1024 host 192.168.30.1 eq 23
access-list 101 deny tcp 192.168.20.0 0.0.0.255 gt 1024 host 192.168.30.1 eq 20
access-list 101 deny tcp 192.168.20.0 0.0.0.255 gt 1024 host 192.168.30.1 eq 21
access-list 101 permit any any
R2
int fa0/0
access-list 101 deny tcp 192.168.20.0 0.0.0.255 gt 1024 host 192.168.30.1 eq 23
access-list 101 permit tcp 192.168.20.0 0.0.0.255 gt 1024 host 192.168.30.1 eq 20
access-list 101 permit tcp 192.168.20.0 0.0.0.255 gt 1024 host 192.168.30.1 eq 21
access-list 101 permit any any
int fa0/1
access-list 101 permit any any
30 de March de 2009 às 1:58 pm
opa, nao coloquei os sentidos (IN/OUT), desculpem =/
R1
int f0/0
ip access-group 101 in
________________________________
R2
int f0/1
ip access-group 101 in
end
int f0/1
ip access-group 101 out
end
30 de March de 2009 às 2:06 pm
Gostaria de fazer uma pergunta : O objetivo B pode ser alcançado ?
A máquina H5 não poderia fazer acessos indevidos por estar na mesma VLAN do server e, assim, não necessitar do router R2 para realizar o encaminhamento de pacotes ?
30 de March de 2009 às 2:13 pm
r1(config)#access-list 101 deny tcp host 192.168.10.1 host 192.168.30.1 eq 80
r1(config)#access-list 101 permit ip any any
r1(config)#interface FastEthernet0/0
r1(config-if)#ip access-group 100 in
r2(config)#access-list 100 permit tcp 192.168.20.0 0.0.0.255 host 192.168.30.1 eq ftp
r2(config)#access-list 100 permit tcp host 192.168.10.1 host 192.168.30.1 eq 23
r2(config)#access-list 100 deny tcp any host 192.168.30.1 eq 23
r2(config)#access-list 100 permit ip any any
r2(config)#interface FastEthernet0/1
r2(config-if)#ip access-group 100 out
30 de March de 2009 às 2:31 pm
Bom aí esta a minha opinião.
Satisfazendo condição “A e D”:
access-list 101 deny tcp host 192.168.10.1 host 192.168.30.1 eq 80
access-list 101 permit ip any any
interface F0/0 do R1>access-group 101 in
Satisfazendo condição “B,C,D”:
access-list 102 permit tcp 192.168.20.0 0.0.0.255 192.168.30.1 eq 21
access-list 102 permit tcp host 192.168.10.1 host 192.168.30.1 eq 23
access-list 102 deny tcp any host 192.168.30.1 eq 23
access-list 102 permit ip any any
interface F0/1 do R2>access-group 102 out
30 de March de 2009 às 2:32 pm
Bom aí esta minha opinião.
Satisfazendo condição “A e D”:
access-list 101 deny tcp host 192.168.10.1 host 192.168.30.1 eq 80
access-list 101 permit ip any any
interface F0/0 do R1>access-group 101 in
Satisfazendo condição “B,C,D”:
access-list 102 permit tcp 192.168.20.0 0.0.0.255 192.168.30.1 eq 21
access-list 102 permit tcp host 192.168.10.1 host 192.168.30.1 eq 23
access-list 102 deny tcp any host 192.168.30.1 eq 23
access-list 102 permit ip any any
interface F0/1 do R2>access-group 102 out
30 de March de 2009 às 2:33 pm
Eu acho que é isso! Pelo menos é o que eu entendi sobre ACL, preferi aplicar as ACL’s conforme determina a regra, ou seja, mais próximo da origem, apenas para evitar a carga desnecessária no link serial, porém também funcionária se aplica-se apenas uma ACL na fa0/1 do R2.
R1(config)#access-list 100 deny tcp 192.168.10.1 0.0.0.0 192.168.30.1 0.0.0.0 eq 80
R1(config)#access-list 100 permit tcp 192.168.10.1 0.0.0.0 192.168.30.1 0.0.0.0 eq 23
R1(config)#access-list 100 deny tcp any 192.168.30.1 0.0.0.0 eq 23
R1(config)#access-list 100 deny tcp any 192.168.30.1 0.0.0.0 eq 20 eq 21
R1(config)#access-list 100 permit ip any any
R1(config)#int fa0/0
R1(config-if)#ip access-group 100 in
R2(config)#access-list 100 deny tcp any 192.168.30.1 0.0.0.0 eq 23
R2(config)#access-list 100 permit tcp 192.168.20.0 0.0.0.255 192.168.30.1 0.0.0.0 eq 20 eq 21
R2(config)#access-list 100 deny tcp any 192.168.30.1 0.0.0.0 eq 21 eq 20
R2(config)#access-list 100 permit ip any any
R2(config)#int fa0/1
R2(config-if)#ip access-group 100 in
30 de March de 2009 às 4:04 pm
Para mim a primeira coisa é ver origem e destino do trafego para saber onde e em que
sentido aplicar a ACL, não esquecendo da ordem em que as regras são escritas pois isso tambem é muito importante
#acc 100 per tcp host 192.168.10.1 host 192.168.30.1 eq 23
#acc 100 dey tcp host 192.168.10.1 host 192.168.30.1 eq 80
#acc 100 pern tcp 192.168.20.0 0.0.0.255 host 192.168.30.1 range ftp-data ftp
#acc 100 perm tcp host 192.168.10.1 host 192.168.30.5
#conf t
#int f 0/1
#ip acc 100 out
Eu aplicaria de dessa manera
31 de March de 2009 às 1:48 pm
Aplicada ACL extendida nos dois routers.
Não liberei os demais trafegos no R2 porque o mesmo não foi solicitado no enunciado.
R1 -
access-list 100 deny tcp host 192.168.10.1 192.168.30.1 0.0.0.0 eq 80
access-list 100 permit ip any any
int f0/0
ip access-group 100 in
r2
access-list 100 permit tcp host 192.168.0.10.1 192.168.30.1 0.0.0.0 eq 23
access-list 100 permit tcp 192.168.20.0 0.0.0.255 192.168.30.1 0.0.0.0 eq ftp
(Demais tipos de trafego são bloqueados pelo deny implicito)
int f0/1
ip access-group 100 out
31 de March de 2009 às 2:55 pm
Bom pessoal eu não lembro direito como faz acl, atualmente estou mexendo com linux, e tbm estou no trabalho e com preguiça de ver como faz certinho…. mas assim mesmo quero responder… vou responder so na teoria.
a)
deny 192.168.10.1 destination 192.168.30.1 port 80 no input do R1
b)
permit 192.168.10.1 destination 192.168.30.1 port 23 no input do R2
deny any any port 23 input R2
permit 192.168.10.1 destination 192.168.30.1 port 23 input do R1
deny any any port 23 input R1
Vlan em todos os switchs para ninguém acessar ninguém
c)
permit 192.168.20.0/24 destination 192.168.30.1 port 21 saida do R2
deny any any port 21 destination 192.168.30.1 saida do R2
permit any any (este por ultimo de tudo)
Vlans ja criadas
d)
permit any any no final da acl dos dois roteadores
Esta parte não me lembro direito, para um pc na mesma rede poder acessar o outro acho q tem que cria as vlans na interface do roteador para ele liberar o acesso para as mesmas redes.
Vlw, espero que tenha algo correto.
31 de March de 2009 às 9:09 pm
Utilizei uma lista de acesso nomeada estendida para melhor gerenciamento.
Criei uma lista acesso estendida com o nome bloqueio_web, onde bloqueio o host H1 o uso do servidor web e em seguida informo para permitir todos os outros hosts e apliquei no R1 na interface fa0/0 para evitar o trafego desnecessário na rede.
Criei uma lista de acesso bloqueio_telnet_ftp onde filtro o trafego do Telnet e FTP. Apliquei no R2 na interface fa0/1 onde passa todo o trafego em direção ao Servidor.
A comunicação entre os outros hosts não sera afetada após a aplicação da lista de acesso.
R1(config)#ip access-list extended bloqueio_web
R1(config-ext-nacl)#deny tcp host 192.168.10.1 host 192.168.30.1 eq 80
R1(config-ext-nacl)#permit ip any any
R1(config)#int fa0/0
R1(config-if)#ip access-group bloqueio_web in
R2(config)#ip access-list extended bloqueio_telnet_ftp
R2(config-ext-nacl)#permit tcp host 192.168.10.1 host 192.168.30.1 eq 23
R2(config-ext-nacl)#permit tcp 192.168.20.0 0.0.0.255 host 192.168.30.1 eq 21
R2(config-ext-nacl)#deny tcp any host 192.168.30.1 eq 23
R2(config-ext-nacl)#deny tcp any host 192.168.30.1 eq 21
R2(config-ext-nacl)#permit ip any any
R2(config)#int fa0/1
R2(config-if)#ip access-group bloqueio_telnet_ftp out
Espero ter acertado a questão.
1 de April de 2009 às 8:13 pm
NO R2
Extended IP access list TELNET_SO_H1
deny tcp 192.168.20.0 0.0.0.255 host 192.168.30.1 eq telnet (22 match(es))
deny tcp 192.168.30.0 0.0.0.255 host 192.168.30.1 eq telnet
deny tcp 192.168.30.0 0.0.0.255 host 192.168.30.1 eq ftp
permit tcp any any
int f 0/1
ip access-group TELNET_SO_H1 out
No R1
Extended IP access list HTTP_NEGADO_H1
deny tcp host 192.168.10.1 host 192.168.30.1 eq www (269 match(es))
permit tcp host 192.168.10.1 host 192.168.30.1 eq telnet
deny tcp 192.168.10.0 0.0.0.255 host 192.168.30.1 eq telnet (11 match(es))
deny tcp 192.168.10.0 0.0.0.255 host 192.168.30.1 eq ftp (22 match(es))
permit tcp any any (460 match(es))
int f0/0
ip access-group HTTP_NEGADO_H1 in
Penso estar bem, apesar de fazer este LAB no packet trace não testei tudo
Marco uma pergunta, os pacotes da rede .30 vão para o .30.1 só pelo switch?ou passa pelo router?
1 de April de 2009 às 11:36 pm
ip access-list extended bloqueia_WWW_SRVR
deny tcp 192.168.10.1 192.168.30.1 eq 80
permit ip any any
R1 - F0/0 ip access-group bloqueia_WWW_SRVR in
ip access-list extended bloqueia_ftp_telnet_SRVR
permit tcp 192.168.10.1 192.168.30.1 eq 23
deny tcp any 192.168.30.1 eq 23
permit tcp 192.168.20.0 0.0.0.255 192.168.30.1 eq 21
deny tcp any 192.168.30.1 eq 21
permit ip any any
R2 - F0/1 ip access-group bloqueia_ftp_telnet_SRVR out
OBS: nao consegui bloquear ftp e telnet de H5 com destino a SRVR
(soluçao que pensei: VLANS e R2 roteando esta vlan)
2 de April de 2009 às 12:21 pm
bom tentei fazer aplicando as regras somenta a interface fa 0/0 no router R2
EM R2
ip access-list extended ACL
deny tcp host 192.168.10.1 host 192.168.30.1 eq www
permit tcp host 192.168.10.1 host 192.168.30.1 eq telnet
deny tcp any host 192.168.30.1 eq telnet
permit tcp 192.168.20.0 0.0.0.255 host 192.168.30.1 eq ftp
permit ip any any
int fa 0/0
access-group ACL out
é isso, agora é esperar a resposta
abs
3 de April de 2009 às 2:38 pm
Vamos lá:
R1
access-list 101 deny tcp host 192.168.10.1 host 192.168.30.1 eq 80
access-list 101 permit ip any any
interface fastethernet 0/0
ip access-group 101 in
R2
access-list 101 permit tcp host 192.168.10.1 host 192.168.30.1 eq 23
access-list 101 deny tcp any 192.168.30.1 eq 23
access-list 101 permit tcp 192.168.20.0 0.0.0.255 host 192.168.30.1 eq range 20 21
access-list 101 permit ip any any
interface fastethernet 0/1
ip access-group 101 out
Um abraço a todos,
4 de April de 2009 às 6:28 pm
A configuração no r1 e r2 seria a seguinte.
R1
int fa0/0
access-list 101 deny tcp host 192.168.10.1 gt 1024 host 192.168.30.1 eq 80
access-list 101 deny tcp host 192.168.10.1 gt 1024 host 192.168.30.1 eq 443
access-list 101 permit tcp host 192.168.10.1 gt 1024 host 192.168.30.1 eq 23
access-list 101 deny tcp host 192.168.10.0 gt 1024 host 192.168.30.1 eq 23
access-list 101 deny tcp 192.168.20.0 0.0.0.255 gt 1024 host 192.168.30.1 eq 20
access-list 101 deny tcp 192.168.20.0 0.0.0.255 gt 1024 host 192.168.30.1 eq 21
access-list 101 permit any any
R2
int fa0/0
access-list 101 deny tcp 192.168.20.0 0.0.0.255 gt 1024 host 192.168.30.1 eq 23
access-list 101 permit tcp 192.168.20.0 0.0.0.255 gt 1024 host 192.168.30.1 eq 20
access-list 101 permit tcp 192.168.20.0 0.0.0.255 gt 1024 host 192.168.30.1 eq 21
access-list 101 permit any any
int fa0/1
access-list 101 permit any any
5 de April de 2009 às 9:50 am
- Acredito que seja esta a resposta:
access-list 101 deny tcp host 192.168.10.1 host 192.168.30.1 eq 80
access-list 101 permit tcp host 192.168.10.1 host 192.168.30.1 eq 23
access-list 101 deny tcp any any eq 23
access-list 101 permit tcp host 192.168.20.3 host 192.168.30.1 eq 21
access-list 101 permit tcp host 192.168.20.4 host 192.168.30.1 eq 21
access-list 101 deny tcp any any eq 21
access-list 101 permit tcp any any
R2(config) interface fastethernet 0/1
ip access-group 101 out
5 de April de 2009 às 10:18 pm
a) Negue pacotes originados por H1 de acessarem os serviços WEB no servidor SRVR.
R1(config)#access-list 101 deny tcp host 192.168.10.1 host 192.168.30.1 eq 80
R1(config)#access-list 101 permit any any
R1(config)#interface FastEthernet 0/0
R1(config-if)#ip access-group 101 in
b) Negue o acesso TELNET originados por qualquer máquina da rede que não seja H1 com destino ao servidor SRVR.
R2(config)#access-list 101 deny tcp any host 192.168.30.1 eq 23
R2(config)#access-list 101 permit tcp host 192.168.10.1 host 192.168.30.1 eq 23
R2(config)#access-list 101 permit any any
R2(config)#interface FastEthernet 0/1
R2(config-if)#ip access-group 101 out
c) Permita o acesso FTP em SRVR apenas aos hosts presentes na mesma rede de H3 e H4.
R2(config)#access-list 102 deny ftp any host 192.168.30.1 eq 21
R2(config)#access-list 102 permit ftp 192.168.20.0 0.0.0.255 host 192.168.30.1 eq 21
R2(config)#access-list 102 permit any any
R2(config)#interface FastEthernet 0/1
R2(config-if)#ip access-group 102 out
d) Permita todo e qualquer acesso restante a todos da rede (ex: H1 deve acessar H4 e H5).
acho que está ok
uma dúvida referente ao host H5, se ele estiver configurado sem gateway,
por estar conectado no Switch22, o mesmo em que o servidor
está conectado, ele tem acesso a www, ftp e telnet?
6 de April de 2009 às 10:19 am
Premissa A: Preferi configurar no R1 em específico para nao gerar tráfego desnecessário na rede, seguindo a premissa de aplicá-la mais próximo de sua origem, mas com a desvantagem de tê-la configurada de forma descentralizada.
R1(config)#
access-list 101 deny tcp 192.168.10.1 0.0.0.0 192.168.30.1 0.0.0.0 eq 80
access-list 101 permit ip any any
int fa0/0
R1(config-if)#ip access-group 101 in
Premissa B, C e D;
R2(config)#
access-list 101 deny tcp 192.168.10.1 0.0.0.0 192.168.30.1 0.0.0.0 eq 23
access-list 101 permit tcp 192.168.20.0 0.0.0.255 192.168.30.1 0.0.0.0 eq 21
access-list 101 permit tcp ip any any
int f0/1
R2(config-if)ip access-group 101 out
6 de April de 2009 às 4:00 pm
Pessoal, tivemos uma participação “tímida” neste desafio…! O que percebo é que quando coloco questões mais elaboradas ou trabalhosas, as pessoas “fogem”! Não deixem as questões intimidá-los! Lembrem-se que, no exame real, timidez é recompensada com BOMBA (e não a de chocolate
)!!
Este exercício poderia ter sido resolvido de “n” modos diferentes. Não tenho tempo para corrigir cada uma das respostas, mas segue uma sugestão de resposta correta. Aqui, devemos sair um pouco da recomendação que ACLs estendidas devem ser aplicadas o mais próximo da origem. Neste caso, criar e aplicar uma única ACL, e o mais próximo do destino (SRVR), parece ser a saída mais lógica.
Prós: Menos trabalho (apenas 1 ACL é criada, e apenas 1 router a terá implementada)
Contras: O tráfego vai percorrer a rede antes de ser bloqueado.
Resposta sugerida:
EM R2:
7 de April de 2009 às 2:43 pm
Marco, mas neste exemplo imagino que não fique completo..
ex:
Permita o acesso FTP em SRVR apenas aos hosts presentes na mesma rede de H3 e H4.
H5 acessa SRVR tranquilamente… to errado?
para não acessar precisa de vlan no switch.
abraço
11 de April de 2009 às 12:30 pm
Concordo contigo ‘carcara’, realmente o H5 faz uso normal do FTP caso ele precise.
Marco, e então, é isso mesmo não? Ou seja, com isso a ACL não está completa, na verdade está, porém com um detalhe a ser visto, pois ele pede que apenas H3 e H4 tenham acesso ao FTP em SRVR.
Vamos aguardo o pronunciamento do Marco quanto a isso.
Abraços e parabéns pelo desafio, me ajudou muito com ACLs.
11 de April de 2009 às 4:18 pm
Pessoal / Carcara
Você está certo. H5 acessa TUDO de SRVR normalmente. ENTRETANTO, atenha-se ao fato que H5 encontra-se NO MESMO SEGMENTO de SRVR, e por isso, suas solicitações ao mesmo NÃO ATRAVESSAM ROUTER ALGUM. Assim sendo, nenhum acesso de H5 ao SRVR seria sujeito à examinação de uma ACL em qualquer um dos 2 routers e, por isso, não temos como bloquear o acesso de H5 ao SRVR (à não ser que implementássemos este bloqueio no próprio SRVR, o que sai fora do escopo do exercício).
Abs e parabéns pelas observações!
Marco.
14 de April de 2009 às 12:31 pm
Uma dúvida, no final temos a linha “permit ip any any”. Qual a diferença de usarmos “permit ip any any e permit tcp any any? Qdo uso IP, qdo uso TCP, é sempre necessário dois ANY, estou estudando ACL e pintou está dúvida.
Abraços!
14 de April de 2009 às 1:38 pm
Alan,
Se vc usar o permit tcp any any vc ainda está sendo muito restrito. Ex: Pacotes UDP não passariam. Com o permit ip any any, vc libera tudo.
Tem que ter 2 any pois estamos falando de uma ACL estendida (temos origem e destino).
Abs!
14 de April de 2009 às 4:33 pm
Entendi, sanada minha dúvida.
Obrigado Marco.
Abraços!
11 de August de 2009 às 2:06 pm
Fiz o teste e rolou de boa no meu router , minha duvida agora é implantar em uma switch layer 3 de 24 portas . É possivel ?
18 de December de 2009 às 1:33 pm
Marco, desculpe a demora ..
estou revisando para a prova que vou prestar na terça feira dia 22/12 e me ocorreu algo..
implementei a ACL da mesma maneira que você apenas com uma pequena diferença..
Não teriamos que criar as seguintes linhas:
permit tcp 192.168.20.0 0.0.0.255 host 192.168.30.1 eq 20
deny tcp any host 192.168.30.1 eq 20
alem das que você criou para que a ACL funcione a contento?
Pois se eu tentar acessar o SRVR fora do segmento H3 H4 via FTP pela porta 20,visto que FTP utiliza as portas TCP 20 e 21, eu acessaria tranquilamente..
Estou errado?
Abraços