Desafio da Semana: ACL

Pessoal, como a prática leva à perfeição (no caso, à aprovação no exame 😉 ), vamos para mais um desafio! Mais um de ACL, já que este assunto ainda parece intimidar muitos.

A questão aqui é dividida em 2 partes:

1) Observe a figura, leia o enunciado e procure a alternativa que ilustra a ACL correta;

2) Escreva, em sua resposta, EM QUE INTERFACE de QUAL ROUTER e em QUAL DIREÇÃO esta ACL deveria ser aplicada para produzir o efeito desejado. O ideal é que você escreva os comandos, nesta parte da questão.

Bom trabalho!

Marco.

acl.jpg

23 comentários

Pular para o formulário de comentário

  1. Letra D, na interface e0 do router “Chicopee” e na direção inbound.

    De cara podemos descartar as letras A e B pois ambas possuem uma regra “libera geral” no início.
    A letra C proibe o HR Server de acessar os hosts da rede 172.16.16.0/24 na porta 80. Na verdade a questão solicita o contrário. Os clientes utilizarão uma porta alta para acessar a porta 80 do servidor, por isso a letra C também não é a opção correta.

  2. Holyoke(config)#access list 110 deny tcp 172.16.16.0 0.0.0.255 172.17.18.252 0.0.0.0 eq 80
    Holyoke(config)#access list 110 permit ip any any
    Holyoke(config)#int e0
    Holyoke(config-if)#ip acces-group 110 out

    Acredito que seja essa a configuração.

    Abraço a todos

  3. Router Chicopee, interface e0, direção in…
    Alternativa D.

  4. Segui o mesmo racionício do nosso amigo Rafael. Letra D, Router Chicopee, E0, IN.

  5. Lista de acesso estendida: Mais próximo possível da origem, então: Letra D, Router Chicopee, E0, IN.

    att.

    Daniel Ribeiro de Oliveira

  6. Olá….

    Para essa questão temos…. uma acl estendida, portanto recomenda-se sua aplicação o mais próximo possível da origem, assim não é gerado tráfego desnecessário na sua rede.
    ok.
    Aplicamos a acl estendida na interface e0 direção IN do router Chicope. A alternativa correta é a D !

    Logo depois temos a clássica “permite tudo”.

    ok… é isso.

    Sds.
    Márcia Guimarães

  7. Vendo o lado de não gerar o tráfego desnecessário na rede, eu mudo minha resposta.

    Chicope(config)#access list 110 deny tcp 172.16.16.0 0.0.0.255 172.17.18.252 0.0.0.0 eq 80
    Chicope(config)#access list 110 permit ip any any
    Chicope(config)#int e0
    Chicope(config-if)#ip acces-group 110 in

    Eh, faz parte reconhecer o erro… 🙂

    Espero estar certo agora.

    Bruno Arruda

  8. Pessoal,

    Aplica-se a ACL na interface E0 como entrada.
    Opção correta letra D.
    Atenciosamente,
    Gesner Sorrentino

  9. boa noite, aacl da alternativa D deve ser utilizada entrada da interface e0 de chicopee.

  10. Letra D,

    Chicope(config)#access list 110 deny tcp 172.16.16.0 0.0.0.255 172.17.18.252 0.0.0.0 eq 80
    Chicope(config)#access list 110 permit ip any any
    Chicope(config)#int e0
    Chicope(config-if)#ip access-group 110 out (porque o que interessa é o que vai sair – OUTPUT)

    acho que seja isso, me corrijam ai!

  11. oh shit! é “IN” mesmo
    é processado assim que entra na interface .. hehe

  12. Como queremos bloquear o acesso vindo do “Accounting Department” (172.16.16.0 /24) para o HR Server (172.17.17.252 /24) e as opções disponíveis para resposta representam listas de acesso estendidas, temos que criar esta o mais próximo da origem de onde o tráfego será gerado, no nosso caso o tráfego que queremos negar.

    Na consideração da interface do Router Chicopee que deve ser aplicada a lista de acesso, temos que considerar que estamos dentro do router ( como dizia meu instrutor )… Você estando dentro do Router e o tráfego que estamos considerando está vindo da rede conectada em sua porta Ethernet 0, temos ai ilustrada uma situação de tráfego “entrante” .. Ou seja o tráfego considerado está entrando no Router Chicopee.. Daí a access-list ser configurada na E0 como in

    Vamos lá a criação da access-list ( assim como já foi dito por outras pessoas aqui em cima… e que eu acho que está certo .. )

    Chicopee(config)#access list 110 deny tcp 172.16.16.0 0.0.0.255 172.17.17.252 0.0.0.0 eq 80
    Chicope(config)#access list 110 permit ip any any
    Chicope(config)#int e0
    Chicope(config-if)#ip acces-group 110 in

    Bem, acho que é isso .. Vou esparar agora a resposta final do Marco!!!

    Abraços a todos!!!

  13. 1)D
    2)e0, Chicopee, in

  14. Letra D.
    Router Chicopee
    interface e0
    IN

    Abraços

  15. Concordo com todos que dizem como resposta certa a letra D.
    Router Chicopee / Interface e0 / IN
    Mas restou-me uma dúvida…poderia trocar o “172.17.17.252 0.0.0.0” por “host 172.17.17.252”?
    😉

  16. Opção D
    router Chicopee / interface e0 (lista estendida – mais próxima da origem) / IN
    Acredito que tanto faz vc colocar “172.17.17.252 0.0.0.0? ou “host 172.17.17.252?.

    Valeu!

  17. Chicope(config)#access list 110 deny tcp 172.16.16.0 0.0.0.255 172.17.18.252 0.0.0.0 eq 80
    Chicope(config)#access list 110 permit ip any any
    Chicope(config)#int e0
    Chicope(config-if)#ip acces-group 110 in

  18. Corrigindo:

    Chicope(config)#access list 110 deny ip 172.16.16.0 0.0.0.255 172.17.18.252 0.0.0.0
    Chicope(config)#access list 110 permit ip any any
    Chicope(config)#int e0
    Chicope(config-if)#ip acces-group 110 in

    Abrçs

  19. É aplicado no router Chicope na interface ethernet0 no sentido Inbound.

    A configuração necessária é esta abaixo:

    Chicope(config)#access list 110 deny tcp 172.16.16.0 0.0.0.255 172.17.18.252 0.0.0.0
    Chicope(config)#access list 110 permit ip any any
    Chicope(config)#interface eth0
    Chicope(config-if)#ip acces-group 110 in
    Chicope(config-if)#end
    Chicope#wr

  20. Pessoal, percebi que todos colocaram como destino na ACL o endereço do Web Server ( 172.17.18.252 /24 ), sendo que na verdade, o endereço tem que ser o do HR Server ( 172.17.17.252 /24 ) .. Assim como está na própria resposta da letra D!

    Abraços a todos!!!

  21. É verdade, então ficaria assim:

    Chicope(config)#access list 110 deny tcp 172.16.16.0 0.0.0.255 172.17.17.252 0.0.0.0 eq 80
    Chicope(config)#access list 110 permit ip any any
    Chicope(config)#int e0
    Chicope(config-if)#ip acces-group 110 in

  22. A alternativa correta seria a “D”. As alternativas “A” e “B” poderiam ser descartadas de cara, já que iniciam com a regra “Permit any”. A alternativa “C” está errada pois a rede indicada como origem não confere com a rede do departamento “Accounting”. Resta a alternativa “D”. A ACL deve ser criada no router “Chicopee”, e aplicada em sua interface “e0?, no sentido de entrada (in):

    Chicopee(config)#access list 110 deny tcp 172.16.16.0 0.0.0.255 172.17.17.252 0.0.0.0 eq 80
    Chicopee(config)#access list 110 permit ip any any

    Quanto à aplicação

    Chicopee(config)#int e0
    Chicopee(config-if)#ip acces-group 110 in

    Por que no router Chicopee?

    Lembre-se que, listas de acesso estendidas devem – sempre que possível – ser aplicadas O MAIS PRÓXIMO DA ORIGEM do tráfego. No caso, o tráfego em questão (à ser bloqueado) é originado na rede do departamento “Accounting”, que tem o router Chicopee como default gateway. Assim sendo, o router Chicopee deve bloquear o acesso do tráfego HTTP com destino ao servidor 172.17.17.252, localizado no departamento “HR”. A aplicação da ACL o mais próximo possível da origem evita que o tráfego “não autorizado” circule pela rede.

    Notem que, esta mesma ACL, também funcionaria se aplicada no router “Holyoke”, em sua interface “e0”, na direção de saída (out), ou mesmo na interface “S1”, na direção de entrada. Em ambos os casos, o efeito seria o mesmo, ENTRETANTO, teríamos – neste caso – um tráfego desnecessário atravessando o router “Chicopee”. Este é o motivo de aplicar a ACL o mais próximo da origem possível.

    É interessante notar que, a 2a linha da ACL também poderia ser escrita desta forma:

    Chicopee(config)#access list 110 deny tcp 172.16.16.0 0.0.0.255 host 172.17.17.252 eq 80

    ou ainda:

    Chicopee(config)#access list 110 deny tcp 172.16.16.0 0.0.0.255 host 172.17.17.252 eq www

    Espero que tenha ficado claro!

    Obrigado à todos os que participaram! E aguardem o próximo desafio!

    Marco.

  23. Acho q a correta é alternativa D, e deve ser aplicada no seu router na direção in.

Deixe um comentário