«

»

ago 02 2009

[CCNA] Desafio 1 – Semana 1 – Agosto 2009

Pelos comments, alguns acharam o último desafio muito fácil! Realmente, o nível de dificuldade dele não era alto. Vamos complicar um pouquinho, portanto 😉 ! O desafio desta semana é mais “desafiador”… espero que tenhamos um grande volume de participações… não se acanhem pessoal 🙂 !

Segue o desafio desta semana…! Bom trabalho pessoal!

Observe o diagrama abaixo:

desafio010809.gif

O desafio desta semana consiste não em uma, mas em algumas tarefas:

1) Crie uma lista de acesso que, simultaneamente:

a) Permita que apenas os hosts com endereço IP PAR tenham acesso ao serviço WWW no Srv1;
b) Permita que apenas os hosts com endereço IP IMPAR tenham acesso ao serviço FTP no Srv1;
c) Permita que todos os hosts tenham acesso à Internet
d) Negue todo e qualquer acesso restante

2) Identifique o router, a interface e a direção correta para aplicação desta lista, no cenário.

Fontes para consulta:

http://blog.ccna.com.br/?s=listas+de+acesso
http://blog.ccna.com.br/2008/05/08/testes-de-mesa-aplicados-a-redes/



Comente usando o Facebook!
0
0

40 comentários

Pular para o formulário de comentário

  1. ferrugem

    Como diria nosso amigo Jack, vamos por partes… 😉

    Não sei ainda responder este desafio por completo.. Mas vamos tentar pelo menos um pouco pra ver se anima a galera a tentar também…

    Primeiramente temos que permitir à todos os hosts com ip PAR da rede 192.168.10.0 o acesso www (80) ao servidor Srv1, que tem ip 192.168.30.254. Para
    solucionar este problema pensei da seguinte maneira:

    – O que define que um ip é par ou ímpar?! Poxa Ferrugem, mas eu sei o que é par e ímpar.. Porém neste caso, temos que lidar com os números na forma binária para conseguir resolver este problema… Eis que pergunto novamente: O que define se um número binário é par ou ímpar?!

    A resposta está no último bit, o que chamamos de bit menos significativo. Se este bit estiver ativo, o endereço sempre vai ser ímpar, senão, o endereço será par… Ou seja, uma endereço do tipo 192.168.10. XXXX XXX1 será um endereço ímpar da rede 192.168.10.0 /24, e se for 192.168.10. XXXX XXX0 será um endereço par desta mesma rede.

    Acredito que esta seja a forma de determinar se um endereço é par ou ímpar… Beleza, agora já sabemos quando um endereço é par ou quando um endereço é ímpar.. Temos agora que criar as ACLs para filtrarem estes endereços, ou como nossa amiga Márcia Guimarães bem diz (cadê você Márciaaa! 😉 ), classificar os pacotes.

    Um dos grandes lances de ACL é a determinação da wildcard, que para este caso, acredito eu, é um pouco mais complexa do que nos casos mais “normais” (meu DEUS mais complexa ainda! rsrs)… Pois é eu achei…

    O que faz a wildcard? Ela na verdade determina quais bits serão “comparados” com o “source address” que você inserir… Eu pensei da seguinte maneira:

    Para permitir endereços pares: access-list 111 permit 192.168.10.0 0.0.0.254 ……. , porque, 254 em binário é 1 1 1 1 1 1 1 0, então a wildcard agirá da seguinte maneira:

    Source Address: 192.168.10. 0 0 0 0 0 0 0 0
    Wild card: 0 . 0 . 0. 1 1 1 1 1 1 1 0

    Onde tem 1 a wildcard vai deixar passar qualquer valor, e onde é 0, ela irá fazer a comparação com o source address… Só vai passar se começar com 192.168.10…, por que os três primeiros octetos da wildcard são 0. O último octeto que é o que estamos querendo analisar possui somente um 0, no último bit, então só vão passar endereços cujo o último bit, do último octeto, for 0, que, como definimos mais acima, é um endereço IP PAR.

    Para permitr os endereços pares, eu pensei em trocar somente o source address, onde ao invés de ser o endereço de rede 192.168.10.0, colocássemos o endereço da int fa do router, 192.168.10.1, somente pelo fato de este endereço ser ímpar, ou seja, seu último bit do último octeto ser 1. Faremos da seguinte maneira então…

    access-list 111 permit 192.168.10.1 0.0.0.254 ……

    Se este meu raciocínio estiver correto e considerando que temos que utilizar uma ACL estendida, que devem, sempre que possível, ser aplicadas o mais próximo possível da origem, vamos aplicá-la no Router R1:

    R1#conf t
    R1(config)#access-list 111 permit tcp 192.168.10.0 0.0.0.254 host 192.168.30.254 eq www (80)
    R1(config)#access-list 111 permit tcp 192.168.10.1 0.0.0.254 host 192.168.30.254 eq ftp (21)

    Falta ainda a configuração para permitir o acesso a internet de todos os hosts, mas não sei como inserir esta configuração nesta ACL.

    A letra d da questão está implicitamente respondida, visto que toda ACL possui um “DENY ANY” no seu final..

    Quanto a 2.ª pergunta, referente a localização da aplicação desta ACL, uma parte eu respondi mais acima, que seria no Router R1. Quanto a interface, eu imagino que seja na FA 0/0 no sentido IN, porém desta forma não funcionou no Packet Tracer.. Só funcionou aplicando a ACL no sentido OUT da interface Serial 0/0…

    Enfim, estas seriam minhas respostas, inicialmente! 😉

    Bacana o desafio Marco! Como você mesmo disse, bem desafiador!!! rssr

    Abraços e vamos participar pessoal!
    Felipe Ferrugem!

    “Juntos somos ainda melhores!!!”

    0

    0
  2. Deco

    Haha, será que tem coisa pra fazer nesse desafio? Ferrugem, o que você colocou aqui sobre a wildcard,
    eu também penso dessa maneira… Ou dependendo da sua rede, dá pra fixar ‘na mão’ na ACL. Em relação
    á permitir o acesso a internet ferrugem, já não entraria esse comando aqui?

    R1(config)#access-list 111 permit tcp 192.168.10.0 0.0.0.254 host 192.168.30.254 eq www (80)

    Como é extendida, agente aplica essa acl na origem -OUT, correto?

    Ja montei a topologia no PT, agora só falta o Hands-on.

    Vou tentar fazer um ‘teste de mesa’ assim como o Marco indicou aqui também, achei muito legal esse
    esquema.

    Vamos lá, mãos á obra!

    abs! e tenho uma pergunta, como eu posto a resposta aqui? Poderia ter um esquema de postar o
    .pkt aqui né? 😉

    0

    0
  3. André Ortega

    Acho que assim funcionaria o proposto.

    R1================
    conf t
    access-list 100 permit tcp 192.168.10.0 0.0.0.254 host 192.168.30.254 eq 80
    access-list 100 permit tcp 192.168.10.1 0.0.0.254 host 192.168.30.244 eq 21
    access-list 100 deny ip 192.168.10.0 0.0.0.255 192.168.0.0 0.0.255.255
    access-list 100 permit ip 192.168.10. 0.0.0.255 any
    int f0/0
    ip access-group 100 in
    end

    http://www.brainwork.com.br/blog

    0

    0
  4. ferrugem

    Deco, esse comando é para responder a primeira questão ( a) Permita que apenas os hosts com endereço IP PAR tenham acesso ao serviço WWW no Srv1; )… para responder a terceira questão ( c) Permita que todos os hosts tenham acesso à Internet ) acredito que tenha que ser inserida uma outra linha na ACL…

    Posta os comandos que você inserir no PT referentes a ACL, tanto sua criação, quanto sua aplicação.

    Abs.

    0

    0
  5. ferrugem

    Isso que o André escreveu acho que complementa o que eu disse antes, e me ajuda a concluir minha resposta.. 😉

    Na verdade, a continuação da lista de acesso bloqueia todos os hosts da rede Lan do R1 de ter acesso a rede LAN do R2 (exceto os casos que se encaixarem nas primeiras permissões da lista, lembrando que a lista é executada linha a linha e que se o pacote se “encaixar” em qualquer uma das linhas, a lista para de ser analisada), e depois permitiu o acesso à todos os hosts da Rede Lan do Router 1 a qualquer destino ( no caso quando eles quissessem sair para a internet ).

    Quanto a aplicação na interface, acredito também que seja no sentindo “entrante” da FastEthernet 0/0 do Router 1:

    R1#conf t
    R1(config)#int fa 0/0
    R1(config-if)#ip access-group 111 in

    Porém, tentei fazer isto no PT e só funcionou aplicando sobre a serial Serial 0/0 no sentido outobound.

    Só completando então minha resposta, ficaria assim:

    1) Crie uma lista de acesso que, simultaneamente:

    a) Permita que apenas os hosts com endereço IP PAR tenham acesso ao serviço WWW no Srv1;
    b) Permita que apenas os hosts com endereço IP IMPAR tenham acesso ao serviço FTP no Srv1;
    c) Permita que todos os hosts tenham acesso à Internet
    d) Negue todo e qualquer acesso restante

    R1#conf t
    R1(config)#access-list 111 permit tcp 192.168.10.0 0.0.0.254 host 192.168.30.254 eq www (ou 80)
    R1(config)#access-list 111 permit tcp 192.168.10.1 0.0.0.254 host 192.168.30.254 eq ftp (ou 21)
    R1(config)#access-list 111 deny ip 192.168.10.0 0.0.0.255 192.168.0.0 0.0.255.255
    R1(config)#access-list 111 permit ip 192.168.10. 0.0.0.255 any
    R1(config)#int fa 0/0
    R1(config-if)#ip access-group 111 in

    2) Identifique o router, a interface e a direção correta para aplicação desta lista, no cenário.

    R1, interface FastEthernet 0/0 no sentido IN (inbound, “entrante”)

    Não deixem de comentar suas opiniões pessoal! 😉

    Abs,
    Felipe Ferrugem!

    0

    0
  6. Matheus

    Ferrugem, não será necessário inserir outra linha na ACL do André, pois note a última linha, ela permite que a rede 192.168.10 pode acessar qualquer outro destino que não seja 192.168.0.0 e o trafico da internet só utiliza ip’s válidos. Se eu estiver errado, alguém me corrija.

    0

    0
  7. fanello

    Após iniciar meus estudos para o CCNA acho que é meu 1º comentário. Espero não decepcionar, vamos lá:

    Com relação as faixas de IPs PAR e IMPAR concordo com o comentário do ferrugem no 1º post. O bit mais significativo que permitirá esses ranges de IP.

    A minha ACL ficaria assim:

    R1#config t
    R1(config)#access-list 150 deny ip 192.168.10.0 0.0.0.254 192.168.30.254 0.0.0.255 eq 80
    R1(config)#access-list 150 deny ip 192.168.10.1 0.0.0.254 192.168.30.254 0.0.0.255 range 20 21
    R1(config)#access-list 150 permit ip any any

    R1(config)#int f0/0
    R1(config-fi)#ip access-group 150 in

    Usei o range 20 21 para o FTP, pois esse protocolo a utiliza. Não sei dizer se realmente seria necessário mas é melhor colocar tudo né…

    Abs !!!

    Flavio Anello.

    0

    0
  8. deliyannis

    Vamos la pessoal
    O Resultado na minha opiniao e o seguinte.
    !
    !
    ip access-list extended ODD_EVEN
    deny tcp 192.168.10.0 0.0.0.254 host 192.168.30.2 eq www
    deny tcp 192.168.10.1 0.0.0.254 host 192.168.30.2 eq ftp
    permit ip any any
    !
    !
    interface F0/0
    ip access-group ODD_EVEN in
    !
    !
    ###############
    1) Crie uma lista de acesso que, simultaneamente:
    UMA LISTA SO!
    a) Permita que apenas os hosts com endereço IP PAR tenham acesso ao serviço WWW no Srv1;
    deny tcp 192.168.10.0 0.0.0.254 host 192.168.30.2 eq www – ISSO NEGARA os enderecos impares ACCESSO A porta 80
    b) Permita que apenas os hosts com endereço IP IMPAR tenham acesso ao serviço FTP no Srv1;
    deny tcp 192.168.10.1 0.0.0.254 host 192.168.30.2 eq ftp – ISSO NEGARA os enderecos pares ACCESSO a portas 20 21
    c) Permita que todos os hosts tenham acesso à Internet
    permit ip any any
    d) Negue todo e qualquer acesso restante
    implicidamente ja e usado.

    2) Identifique o router, a interface e a direção correta para aplicação desta lista, no cenário.
    Listas de accesso que contem o endereco de origem devem ser postas o mais perto da origem possivel.

    Um Abraco
    Panaiotis

    0

    0
  9. Marcos Almeida

    Muito bom o desafio !
    Parabéns Ferrugem, mandou bem nas explicações !

    Pessoal, se quiserem deixar o desafio ainda mais desafiador, experimentem habilitar DHCP no R1 para distribuição de IP’s aos hosts da rede 192.168.10.0.

    Abraço !

    0

    0
  10. JulianoSilva

    Bom, após muito tempo acessando esse ótimo site, resolvi tomar coragem e postar pela primeira vez…Tomara que eu não erre justamente meu primeiro desafio….heheheh

    No caso da criação da ACL em questão, a minha não difere do que já foi comentado acima. Só o lugar de aplicação da mesma eu optei pela interface F0/1 do R2, apesar de ser uma ACL extendida, e a recomendação da Cisco seria aplicá-la o mais próximo possível da origem. Mas neste caso eu preferi “economizar” uma linha, já que o que vai bloquear mesmo seria o acesso para a rede do Srv1(192.168.30.0), e o acesso para a internet de qualquer parte ficaria permitido. Então vamos lá:

    R2(config)#access-list 101 permit tcp 192.168.10.0 0.0.0.254 host 192.168.30.254 eq www
    –Permite que apenas os hosts com endereço IP PAR tenham acesso ao serviço WWW no Srv1

    R2(config)#access-list 101 permit tcp 192.168.10.1 0.0.0.254 host 192.168.30.254 eq ftp
    –Permite que apenas os hosts com endereço IP IMPAR tenham acesso ao serviço FTP no Srv1

    Bom, a questão do porque da wildcard mask e endereços usados serem desta maneira acho que já foi bem explicada acima pelos companheiros.
    Assim, o deny any implicito no final bloquearia todo e qualquer acesso restante para a rede do Srv1. E como a access-list será aplicada na interface F0/1
    do R2…

    R2(config)#interface f0/1
    R2(config-if)#ip access-group 101 out

    ….todo e qualquer pacote destinado a internet não precisaria ser verificado por esta ACL.

    Bom, acho que é isso. Realmente um ótimo desafio. Se eu estiver enganado me corrijam pessoal.

    Um abraço a todos e parabéns pelo site Marco.

    0

    0
  11. tyatsu

    Eu acho que seria melhor adicionar no R2 porque não temos como definir qual o endereço seá solicitado, também não podemos somente liberar a porta 80 pois a internet pode utilizar outras portas como FTP, Telnet, SSH …. só estou com dúvida de devemos liberar o Servidor para acessar a internet.

    R2(config)#access-list 100 permit tcp 192.168.10.0 0.0.0.254 host 192.168.30.254 eq www
    R2(config)#access-list 100 permit tcp 192.168.10.1 0.0.0.254 host 192.168.30.254 eq ftp
    R2(config)#access-list 110 permit ip 192.168.10.0 0.0.0.255 any

    R2(config)#interface fastethernet0/1
    R2(config)#ip access-group 100 out

    R2(config)#interface serial0/1
    R2(config)#ip access-group 110 out

    0

    0
  12. halisonac

    Boa tarde pessoal, segue a minha opinião sobre este desafio

    1) Crie uma lista de acesso que, simultaneamente:

    a) Permita que apenas os hosts com endereço IP PAR tenham acesso ao serviço WWW no Srv1;
    b) Permita que apenas os hosts com endereço IP IMPAR tenham acesso ao serviço FTP no Srv1;
    c) Permita que todos os hosts tenham acesso à Internet
    d) Negue todo e qualquer acesso restante

    R1#conf t
    R1(config)#access-list 101 permit tcp 192.168.10.0 0.0.0.254 host 192.168.30.254 eq 80
    R1(config)#access-list 101 permit tcp 192.168.10.1 0.0.0.254 host 192.168.30.254 eq 21
    R1(config)#access-list 101 deny ip 192.168.10.0 0.0.0.255 192.168.0.0 0.0.255.255
    R1(config)#access-list 101 permit ip 192.168.10. 0.0.0.255 any

    2) Identifique o router, a interface e a direção correta para aplicação desta lista, no cenário.

    R1(config)#int fa 0/0
    R1(config-if)#ip access-group 101 in

    0

    0
  13. amarantes2001

    ip access-list extended lista
    permit tcp 0.0.0.0 255.255.255.254 192.168.30.254 eq 80
    permit tcp 0.0.0.1 255.255.255.254 192.168.30.254 eq 21
    deny ip 0.0.0.0 255.255.255.255 192.168.30.254
    permit any any

    R1
    int f0/0
    ip access-group lista in

    0

    0
  14. Daniel Valente

    Tirei o chapeu para o ferrugem agora e para os demais . Sinceramente, passei nem perto de resolver a questao dos ips “pares” e “impares”.

    Show de bola,. : )

    Abs!!

    0

    0
  15. alexandre.nobrega

    Meus 2 cents:

    R1#conf t
    R1(confIg)#ip access-list extended acl_desafio
    ##Usando ACL Nomeada pra facilicar o processo 😛
    R1(config-ext-nacl)#permit ip 192.168.10.0 0.0.0.254 192.168.30.254 eq www
    ## Permite o acesso ao server 192.168.30.254 na porta 80
    R1(config-ext-nacl)#permit ip 192.168.10.1 0.0.0.254 192.168.30.254 eq ftp
    ## permite acesso FTP ao server 192.168.30.254
    R1(config-ext-nacl)#deny ip 192.168.10.1 0.0.0.254 192.168.30.254 eq www
    ##Essa regra tem que vir antes da regra permitindo acesso a internet, pois caso contrário, os Hosts Impares teriam acesso www ao Server 192.168.30.254
    R1(config-ext-nacl)#permit ip 192.168.10.0 0.0.0.255 any eq 80
    ##permite Acesso web (80) a internet.
    R1(config-ext-nacl)#deny ip any any log
    ##bloqueia todo o resto do acesso, e loga os hits dessa regra (best practice :P)
    R1(config-ext-nacl)#exit
    R1(config)#interface fastethernet 0/0
    R1(config-if)#ip access-group acl_desafio in
    R1(config-if)#end
    ##configurando a ACL extendida o mais próximo possível da origem, conforme recomendação da própria Cisco.
    R1#write mem
    ## Duh 😛

    Quanto aos comentários do Pessoal, acho que os “permit ip 192.168.10.0 any” não está correto, pois estaria indo contra a letra “D” “bloquear todo e qualquer acesso restante”

    Fora isso, foi bom tirar a poeira… nem lembrava mais como configurar essa jogadinha de par e impar.

    Valeu pessoal!

    0

    0
  16. Lchiocchetti

    ### ACESS-LIST ###
    ip access-list 100 remark PERMITE IP PAR ACESSAR WWW
    ip access-list 100 pemrit tcp 192.168.10.0 0.0.0.254 host 192.168.30.254 eq 80
    ip access-list 100 remark PERMITE IP IMPAR ACESSAR FTP
    ip access-list 100 permit tcp 192.168.10.1 0.0.0.254 host 192.168.30.254 eq 21
    ip access-list 100 remark NEGA TODOS ACESSAREM O RESTO DA REDE 192.168.0.0
    ip access-list 100 deny ip any 192.168.0.0 0.0.255.255
    ip access-list 100 remark PERMITE ACESSO A INTERNET
    ip access-list 100 permit ip any any

    ### CONFIGURAÇÃO DA INTERFACE F0/0 DO ROUTER R1 ###
    ip access-group 100 in

    0

    0
  17. Fernando Guerreiro

    Vamos lá tentar resolver mais esse desafio hehehe. Esse foi muito bom, realmente ótimo para treinar ACL’s.

    Access List

    ip access-list 100 deny 192.168.10.1 0.0.0.254 host 192.168.30.254 eq www (nega acesso aos IP impares acessar WWW no srv1)
    ip access-list 100 deny 192.168.10.0 0.0.0.254 host 192.168.30.254 eq ftp (nega acesso IP pares acessar FTP no svr1)
    ip access-list 100 permit 192.168.10.0 0.0.0.255 eq 80(permite acesso a internet)
    ip access-list 100 deny any any

    E a aplicação deverá ser na interface F0/0 do R1 no sentido Inbound
    ip access-group 100 in

    Eu realmente não sabia como resolver o problema dos endereços Pares e impares, mas tudo ficou mais claro quando eu vi o comentário do Ferrugem, porém ao invés de permitr os endereços pares eu NEGUEI os endereços impares. Fiz isso pra economizar uma linha na ACL hehe.
    O Deny Any está implicito no final da ACL, mas eu coloquei ele mesmo assim só para reforçar a idéia de que todo o trafego será negado.

    0

    0
  18. Caio Esteves

    Vamos lá…

    access-list 100 permit tcp 192.168.10.0 0.0.0.254 host 192.168.30.254 eq www
    access-list 100 permit tcp 192.168.10.1 0.0.0.254 host 192.168.30.254 eq ftp
    access-list 100 permit tcp 192.168.10.0 0.0.0.255 any eq www
    access-list 100 permit tcp 192.168.10.0 0.0.0.255 any eq 443
    interface f0/0
    ip access-group in
    end

    Desta forma nós:
    Liberamos acesso web ao srv1 para endereços pares.
    Liberamos acesso ftp ao srv1 para endereços impares.
    Liberamos acesso a internet utilizando as portas 80 e 443.
    Negamos todo e qualquer acesso que não tenha sido detalhado anteriormente, pois ao final de toda ACL temos um “deny ip any any” implícito.

    Acredito que esta lista tenha conseguido atuar na necessidade do ambiente!

    []’s para todos!

    0

    0
  19. Valdemir Silva

    Para alcançar o objetivo deste lab será necessário discriminar as linhas na seguinte ordem:

    1)Resposta———————————————————————————————————————————————————————————
    access-list 120 deny tcp 192.168.10.1 0.0.0.254 host 192.168.30.254 eq www
    ## Negar tráfego http de hosts impares destinado ao Server1

    access-list 120 deny tcp 192.168.10.0 0.0.0.254 host 192.168.30.254 eq ftp
    ## Negar tráfego ftp de hosts pares destinado ao Server1

    access-list 120 permit tcp 192.168.10.1 0.0.0.254 host 192.168.30.254 eq ftp
    ## Permitir tráfego ftp de hosts ímpares destinado ao Server1

    access-list 120 permit tcp 192.168.0.0 0.0.255.255 any eq www
    ## Permitir tráfego à internet para todos os host (os host pares entram nesta descrição podendo acessar o tráfego na porta 80 tanto da rede pública quanto do Server1, os host impares terão permissão a rede pública mediante esta linha, mas terão seu tráfego http bloqueado para o Server1 conforme a sequência lógica aplicada na linha 1 da ACL 120, que será atendida na ordem)

    2)Resposta———————————————————————————————————————————————————————————

    ACL aplicada próximo da origem seguindo a lógica de ACL extendida:

    R1(config)#int f0/0
    R1(config-if)#ip access-group 120 in

    No “R1”
    Na interface “f0/0”
    Na direção “in”

    Aguardando com expectativa a resposta deste Lab.

    0

    0
  20. tecvictor

    Olá…
    Ótima analise do ferrugem , meus parabens…

    Bem olhei cada resposta e acho que filtrando ficaria assim:

    R1#conf t
    R1(config)#access-list 111 DENY tcp 192.168.10.1 0.0.0.254 host 192.168.30.254 eq www
    R1(config)#access-list 111 DENY tcp 192.168.10.0 0.0.0.254 host 192.168.30.254 eq ftp
    R1(config)#access-list 111 DENY tcp 192.168.10.0 0.0.0.255 host 192.168.30.254 eq telnet
    R1(config)#access-list 111 permit ip 192.168.10. 0.0.0.255 any
    R1(config)#int fa 0/0
    R1(config-if)#ip access-group 111 in

    GOstei do desafio , abraços.

    0

    0
  21. raffa_09

    Galera queimei uns miolos, fiz algumas contas e montei um cenário no Packet Tracer, funcionou a conteto. Segue configuração efetuada nos Routers.

    ! COnfiguração do Router 1

    ena
    conf t
    int fa 0/0
    ip address 192.168.10.1 255.255.255.0

    int s0/0
    ip address 192.168.20.1 255.255.255.252
    clock rate 128000
    no shut

    EXIT

    ROUTER RIP
    VERSION 2
    NETWORK 192.168.10.0
    NETWORK 192.168.20.0
    end

    wr

    ! COnfiguração do Router 2

    ena
    conf t
    int fa 1/0
    ip address 192.168.30.1 255.255.255.0

    int s0/0
    ip address 192.168.20.2 255.255.255.252
    no shut

    ROUTER RIP
    VERSION 2
    NETWORK 192.168.30.0
    NETWORK 192.168.20.0
    exit

    ip access-list extended ccna
    permit tcp 192.168.10.0 0.0.0.254 host 192.168.30.254 eq 80
    permit tcp 192.168.10.1 0.0.0.254 host 192.168.30.254 eq 21
    exit

    int fa1/0
    ip access-group ccna out
    end

    wr

    0

    0
  22. ferrugem

    @raffa_09, bacana você ter aplicado o desafio no PT.. Porém, acredito que a sua access-list não atende a questão 1 letra d do desafio, que é bloquear todo e qualquer tráfego restante..

    Um exemplo que eu acredito que esta implícito neste “bloquear todo e qualquer tráfego restante..” seria um telnet no R2 através de H1, fato este que não seria barrado pela access-list que foi aplicada somente no sentido de saída da interface Fa 0/1 do R2..

    Mas enfim, o bacana mesmo é essa discussão, que só nos leva a aprender cada vez mais! 😉

    Abs,
    Felipe Ferrugem!

    “Juntos somos ainda melhores!!!”

    0

    0
  23. Caio Esteves

    Ops.. havia esquecido de bloquear o acesso ao resto da rede…

    access-list 100 permit tcp 192.168.10.0 0.0.0.254 host 192.168.30.254 eq www
    access-list 100 permit tcp 192.168.10.1 0.0.0.254 host 192.168.30.254 eq ftp
    access-list 100 deny ip 192.168.10.0 0.0.0.255 192.168.0.0 0.0.255.255
    access-list 100 permit tcp 192.168.10.0 0.0.0.255 any eq www
    access-list 100 permit tcp 192.168.10.0 0.0.0.255 any eq 443
    interface f0/0
    ip access-group in
    end

    Agora sim… corrigida!

    0

    0
  24. carcara

    Bom eu nunca me lembro como fazer para fazer as acl certinho, mas copiando o pessoal de cima, vamos la
    Uma ACL so e vai ser no R2 F0/1 out

    a) ip access-list 100 deny 192.168.0.0 0.0.0.254 host 192.168.30.254 eq www

    b) ip access-list 100 deny 192.168.0.0 0.0.0.3 host 192.168.30.254 eq ftp (acho q ta errado mas vam bora…)

    c) aqui como são todos ips privados para voce sair para a Internet voce precisa dum nat… como to sem meu livro e to com preguiça de relembrar, vai o comando a lá iptables
    iptables -t nat -A srcnat -net 192.168.0.0 MASQUERADE – é mais ou menos isso —- resumindo, tudo que que começar com 192.168, ele vai fazer nat pro ip valido

    D) num precisa fazer nada

    0

    0
  25. Argemiro Ferreira

    Ainda em inicio de meus estudos para o CCNA acho que deve ser assim. Bom esses de par e inpar nem imaginava como seria, vou com os amigos aii…
    To com o mesmo raciocinio do caio , mas acho tem que permitir os acessos a internet primeiro pra dpois negar todo ou qualquer acesso… Espero não decepcionar, To muito fraco ainda… 😀

    access-list 100 permit tcp 102.168.10.0 0.0.0.254 host 192.168.30.254 eq www
    access-list 100 permit tcp 102.168.10.1 0.0.0.254 host 192.168.30.254 eq ftp
    access-list 100 permit tcp 102.168.10.0 0.0.0.255 any eq www
    access-list 100 deny tcp 102.168.10.0 0.0.0.255 192.168.0.0 0.0.255.255

    R1

    int Fa0/0

    ip access-group 100 in

    end

    Bom acho que seja assim… Muito bom o desafio !!!

    0

    0
  26. hatus

    access-list 120 permit tcp 192.168.10.0 0.0.0.254 host 192.168.30.254 eq www
    a) Permita que apenas os hosts com endereço IP PAR tenham acesso ao serviço WWW no Srv1;

    access-list 120 permit tcp 192.168.10.1 0.0.0.254 host 192.168.30.254 eq ftp
    b) Permita que apenas os hosts com endereço IP IMPAR tenham acesso ao serviço FTP no Srv1;

    access-list 120 permit tcp 192.168.10.0 0.0.0.255 any eq www
    c) Permita que todos os hosts tenham acesso à Internet

    access-list 120 deny ip 192.168.10.0 0.0.0.255 192.168.0.0 0.0.255.255
    d) Negue todo e qualquer acesso restante

    Unico problema e que aplico na interface fa0/0 e não funciona

    ???????

    0

    0
  27. Jose Alexandre

    Bom dia a todos!

    Seguindo a dica do nosso amigo ferrugem e olhando alguns coments ai vai!

    ip access-list extended filter

    access-list 100 permit tcp 192.168.10.0 0.0.0.254 host 192.168.20.2 eq www
    a) Permita que apenas os hosts com endereço IP PAR tenham acesso ao serviço WWW no Srv1

    access-list 100 permit tcp 192.168.10.1 0.0.0.254 host 192.168.20.2 eq ftp
    b) Permita que apenas os hosts com endereço IP IMPAR tenham acesso ao serviço FTP no Srv1;

    access-list 100 deny ip 192.168.10.0 0.0.0.255 192.168.0.0 0.0.255.255
    d) Negue todo e qualquer acesso restante

    access-list 100 permit ip 192.168.10.0 0.0.0.255 any
    c) Permita que todos os hosts tenham acesso à Internet

    interface FastEthernet0/0
    ip access-group filter in
    Aplicando a regra para trafego de entrada.

    Fiz no packet tracer e funcionou na boa.

    Abraços

    0

    0
  28. hatus

    O José esta certo….

    O problema sera resolvido assim:

    access-list 100 permit tcp 192.168.10.0 0.0.0.254 host 192.168.20.2 eq www
    a) Permita que apenas os hosts com endereço IP PAR tenham acesso ao serviço WWW no Srv1

    access-list 100 permit tcp 192.168.10.1 0.0.0.254 host 192.168.20.2 eq ftp
    b) Permita que apenas os hosts com endereço IP IMPAR tenham acesso ao serviço FTP no Srv1;

    access-list 100 deny ip 192.168.10.0 0.0.0.255 192.168.0.0 0.0.255.255
    d) Negue todo e qualquer acesso restante

    Lembrando que vai negar qualquer acesso as redes que comecem com 192.168… se for configurada uma rede classe B 172.16 o acesso não e negado

    access-list 100 permit ip 192.168.10.0 0.0.0.255 any
    c) Permita que todos os hosts tenham acesso à Internet

    0

    0
  29. leuxah

    Por favor me corrijam se estiver errado. Na minha opinião ficaria da seguinte maneira:

    access-list 101 deny tcp 192.168.10.1 0.0.0.254 host 192.168.30.254 eq www
    access-list 101 permit tcp 192.168.10.1 0.0.0.254 host 192.168.30.254 eq ftp
    access-list 101 permit tcp 192.168.10.0 0.0.0.255 any eq www
    access-list 101 deny ip any any
    !
    int fa 0/0
    ip access-group 101 in

    0

    0
  30. Marco Filippetti

    Pessoal, achei excelentes as participações. Ferrugem, sem comentários. Seu primeiro comment foi a base para que os outros seguissem o caminho, parabéns! Como vcs devem ter imaginado, este exercício pode ser resolvido de algumas maneiras distintas. Lembrem-se que, algumas vezes, regras existem para serem quebradas… 😉 . A Cisco RECOMENDA que ACLs estendidas sejam aplicadas o mais próximo da origem, porém, é apenas uma recomendação, e não uma regra per se. Neste caso, o modo mais limpo de resolver o exercício seria o seguinte (pegando uma carona no comment #7, que não está de todo correto)

    R2#config t
    R2(config)#access-list 150 deny ip 192.168.10.1 0.0.0.254 192.168.30.254 0.0.0.255 eq 80
    R2(config)#access-list 150 deny ip 192.168.10.0 0.0.0.254 192.168.30.254 0.0.0.255 range 20 21
    R2(config)#access-list 150 permit ip any any

    R2(config)#int f0/1
    R2(config-fi)#ip access-group 150 out

    Ou seja, ao inves de permitir, negamos e, assim, economizamos uma linha. E ao invés de aplicarmos o mais próximo da origem, aplicamos o mais próximo do destino. Neste caso, a razão disso é exatamente não afetar o tráfego com destino à Internet (e a outras redes). Obviamente teremos o incoveniente do tráfego “proibido” atravessar a rede até R2, ao invés de ser inibido já em R1, mas quando desenhamos ACLs, estes são fatores que devem ser pesados.

    Uma vez mais, não estou dizendo que este é o modo mais correto, muito menos que é o único modo. Apenas que é uma das opções, e que é mais simples por usar uma linha a menos de configuração 😉 !

    Espero que tenham gostado pessoal! Depois tem mais!!!

    Abs e obrigado!

    Marco.

    0

    0
  31. Lchiocchetti

    Marco, me corrija se eu estiver errado.

    Muito boa sua explicação, porém de acordo com o item (D) todo e qualquer acesso deve ser negado, e segundo o que diz a sua regra, uma tentativa de acesso Telnet (23) ao servidor (Srv1) vai ser permitido, furando o item (D) e outros possíveis serviços que eventualmente possam estar habilitados no servidor.

    Como não existe apenas uma solução, minha sugestão que atende os requisitos seria:

    ### ACESS-LIST ###
    access-list 100 permit tcp 192.168.10.0 0.0.0.254 host 192.168.30.254 eq 80
    access-list 100 permit tcp 192.168.10.1 0.0.0.254 host 192.168.30.254 eq 21
    access-list 100 deny any 192.168.0.0 0.0.255.255
    access-list 100 permit any any

    ### CONFIGURAÇÃO DA INTERFACE F0/0 DO ROUTER R1 ###
    access-group 100 in

    Abraço
    Lucas

    0

    0
  32. raffa_09

    Marco tenho duas dúvidas sobre a resolução deste exercício: A primeira é com relação ao post 22 do ferrugem, se ele estiver correto quando vc diz para bloquear todo o tráfego restante teremos que bloquear o acesso telent aos routers e a sua acess-list não o faz. Na minha interpretação quando vc diz para negar todo tráfego restante está se referindo somente ao servidor, mesmo assim sua access-list não irá bloquear o acesso telent ao servidor ou um ping ao servidor. Qual deve ser a interpretação correta para esta parte da pergunta, e como responde-lá?
    A segunda questão é referente a access-list que montei, como vc mesmo disse tem diversas maneiras de montar a acces-list e comcordo que não existe um modo mais correto de fazê-lo também concordo que o modo que deve ser considerado melhor é o que utiliza menos linhas, sendo assim creio que a access-list que criei está de acordo e testada no PT funcionou a contento e ainda utilizei uma linha a menos que vc, além de bloquear o telnet o ping e qualquer outro tráfego ao servidor Srv1 como interpretei na pergunta, qual seria a falha ou o ponto negativo nela desta access-list?

    ip access-list extended ccna
    permit tcp 192.168.10.0 0.0.0.254 host 192.168.30.254 eq 80
    permit tcp 192.168.10.1 0.0.0.254 host 192.168.30.254 eq 21
    exit

    int fa1/0
    ip access-group ccna out
    end

    0

    0
  33. carcara

    eu achei que tinha que usar NAT 😛

    0

    0
  34. Marco Filippetti

    Lucas, está corretíssimo! Você tem razão. Sua solução proposta está OK, mas eu acrescentaria:

    ### ACESS-LIST ###
    access-list 100 permit tcp 192.168.10.0 0.0.0.254 host 192.168.30.254 eq 80
    access-list 100 permit tcp 192.168.10.1 0.0.0.254 host 192.168.30.254 eq 21
    access-list 100 deny any 192.168.0.0 0.0.255.255 host 192.168.30.254
    access-list 100 permit any any

    E seguiria implementando a ACL no router R2:

    ### CONFIGURAÇÃO DA INTERFACE F0/0 DO ROUTER R2 ###
    int f0/1
    access-group 100 out

    0

    0
  35. Luiz Lahr

    Marco,

    Ainda tem algo que naum me sai da cabeça em relação a este desafio.
    Quando olho sua resolução, vejo o seguinte:

    access-list 100 permit tcp 192.168.10.0 0.0.0.254 host 192.168.30.254 eq 80 – permite acesso WEB (a)
    access-list 100 permit tcp 192.168.10.1 0.0.0.254 host 192.168.30.254 eq 21 – Permite acesso FTP (b)
    access-list 100 deny any 192.168.0.0 0.0.255.255 host 192.168.30.254 – bloqueia qualquer acesso vindo de 192.168.X.X (d ???)
    access-list 100 permit any any – e libera todo o resto.

    Mas na descrição do problema é dito o seguinte:
    d) Negue todo e qualquer acesso restante

    Porem o ultimo item da sua acces-list, permitiria que qualquer host de outra rede, desde que nateado ou roteado, tenha acesso ao server.
    Soh que este item D naum da brecha pra que isso aconteça.

    Logo imagino que soh:

    access-list 100 permit tcp 192.168.10.0 0.0.0.254 host 192.168.30.254 eq 80 – permite acesso WEB (a)
    access-list 100 permit tcp 192.168.10.1 0.0.0.254 host 192.168.30.254 eq 21 – Permite acesso FTP (b)

    resolveria o caso um vez que temos um DENY ANY (implicito) no final de toda acces-list.

    estou correto ou disse besteira?

    Ateh mais

    0

    0
  36. Marco Filippetti

    Luiz, correto! Eu preciso ler meus desafios com mais atenção rssss Ficaríamos assim, então:

    ### ACESS-LIST ###
    access-list 100 permit tcp 192.168.10.0 0.0.0.254 host 192.168.30.254 eq 80
    access-list 100 permit tcp 192.168.10.1 0.0.0.254 host 192.168.30.254 eq 21

    E seguiria implementando a ACL no router R2:

    ### CONFIGURAÇÃO DA INTERFACE F0/0 DO ROUTER R2 ###
    int f0/1
    access-group 100 out

    0

    0
  37. raffa_09

    Acho que este último post seu responde todas as minhas dúvidas Marco, ou seja a access-list que criei e comentei no post 22 utiliza o menor número de linhas possível e atende a todos os requisitos da questão.

    Luiz seus comentários foram muito bons, pois suas dúvidas eram as minhas também.

    Abs. Raffa.

    0

    0
  38. hugors

    Para solucionar este desafio é necessário aprende um pouco sobre access-list, especificamente sobre a máscara coringa.
    A máscara coringa é composta de 32 bits divididos em 4 octetos e parece muito com a mascara de sub-rede mas a maneira de tratá-la é diferente.
    Os números 0 e 1 da máscara curinga são usados para identificar o modo como a Access-list vai lidar com o endereço IP.
    O binário 0 (zero) na máscara coringa indica de o valor deve ser comparado, o binário 1 (um) indica que que o valor não deve ser comparado.
    Vamos a um exemplo:
    Access-list 1 permit 10.61.0.0 0.0.255.255
    Na Access-list acima indica uma permissão para a rede 10.61.0.0/16
    Como isso funciona:
    IP: 00001010.00111110.0000000.00000000
    Mask: 00000000.00000000.11111111.11111111
    Neste exemplo onde na mascara coringa encontra-se o 0 (zero) o campo é comparado. Se o valor for igual ao endereço iniciado com 10.61 vai ter acesso permitido.
    Onde estiver o 1(um) não vai ser comparado.

    Transformando números (decimais) pares em binário vai ser verificado que todo número (binário) termina em 0 (zero) e fazendo o mesmo com impares (decimais) o número (binário) termina em 1.

    A solução para uma Access-list para permitir acesso dos endereços pares ao servidor WEB e permitir acesso dos endereços impares ao servidor FTP é:
    Exemplo1:
    #Access-list 101 permit tcp 0.0.0.0 255.255.255.254 host 192.168.30.254 eq www
    #int fa0/1
    #ip access-group 101 out
    #Access-list 101 permit tcp 0.0.0.1 255.255.255.254 host 192.168.30.254 eq ftp
    #int fa0/1
    #ip access-group 101 out

    Exemplo 2:
    # Access-list 101 permit tcp 0.0.0.0 255.255.255.254 host 192.168.30.254 eq WWW
    #int fa0/1
    #ip access-group 101 out

    # Access-list 101 deny tcp 0.0.0.0 255.255.255.254 host 192.168.30.254 eq FTP
    #int fa0/1
    #ip access-group 101 out

    Exemplo 3:
    # Access-list 101 deny tcp 0.0.0.1 255.255.255.254 host 192.168.30.254 eq www
    #int fa0/1
    #ip access-group 101 out

    # Access-list 101 deny tcp 0.0.0.1 255.255.255.254 host 192.168.30.254 eq ftp
    #int fa0/1
    #ip access-group 101 out

    Explicando o Exemplo 1:
    A Access-list permite acesso a todos endereço 0.0.0.0 com a mascara coringa 255.255.255.254.
    Pela mascara podemos ver que nenhum digito binário vai ser comparado salvo o último digito que neste caso vai ser igual a 0 (zero).
    Como todo endereço par em binário termina em zero a access-list vai compara se o endereço, se tiver final 0 (zero) o acesso vai ser permitido.

    No caso do acesso ao servidor FTP a lógica é a mesmo, sendo que o ultimo e único digito a ser comparado e o binário 1, como todos os número pares terminam em 1 (na sua forma binária), conclui-se que o todo número que tiver seu final igual a 1 o acesso será permitido.

    0

    0
  39. ricardo

    Marco nao poderia ser assim

    # access-list 110 permit tcp 192.168.10.0 0.0.0.254 host 192.168.30.254 eq www
    # access-list 110 permit tcp 192.168.10.1 0.0.0.254 host 192.168.30.254 eq ftp
    # access-list 110 deny ip 192.168.10.0 0.0.0.255 192.168.30.0 0.0.0.255
    # access-list 110 permit ip any any

    interface do router 1 f0/0
    access-group 110 in

    0

    0
  40. André Santana

    # access-list 120 permit tcp 192.168.10.0 0.0.0.254 host 192.168.30.254 eq www
    # access-list 120 permit tcp 192.168.10.1 0.0.0.254 host 192.168.30.254 eq ftp
    #interface fa 0/0 do R2
    ip access-group 120 out.

    Foi assim que fia a minha conf e funcionou numa boa?

    0

    0

Deixe uma resposta