Access-lists
Hola, ¿cómo estas?, ¿Sabes? Necesito un poco de ayuda, espero tu me la puedas brindar.
Durante algún tiempo he tenido que estar lidiando con configuracónes de Router y aunque sé que son las listas de acceso y que hacen aun no entiendo muy bien como es que se manejan.
Se supone que tengo un Router enlazado a un centro de servicio (Internet) a través de RDSI -204.204.7.4- y a su ves a dos redes en sus puertos E0 -172.16.64.1- y E1 -172.31.32.1-. Lo que tengo que hacer es:
Permitir el libre acceso de las dos redes hacía Internet (s0), permitir el libre acceso de la red uno (E0) a la red dos (E1) y finalmente, permitir el solo los servicios de correo y DNS de la red dos (E1) hacía la red uno (E0). Lo único que entiendo con esto es que tengo que usar listas de acceso extendidas y que las tengo que asignar a un grupo, que aun no sé si será IN o OUT.
El problema es muy simple, lo difícil es que no se aplicar muy bien las instrucciones.
Solo tengo que enlazar el Router de una red externa (204.204.7.4) a su puerto Serial 1.
Además en los puertos Ethernet 0 y 1 (172.16.64.1 y 172.31.32.1)existen dos redes LAN.
Me imagino que se necesitan 4 listas de acceso.
1.- Debe haber acceso total de las LAN a Internet (me imagino HTTP).
2.- Debe haber acceso total de la red 1 (Ethernet 0) hacia la red 2.
3.- Solo se permite el tráfico de DNS y Correo electrónico entre la red Lan 1 y la red Lan 2. La red 2 no tiene acceso de ningún tipo a la red Lan 1.
De antemano, muchas gracias!
JC
Durante algún tiempo he tenido que estar lidiando con configuracónes de Router y aunque sé que son las listas de acceso y que hacen aun no entiendo muy bien como es que se manejan.
Se supone que tengo un Router enlazado a un centro de servicio (Internet) a través de RDSI -204.204.7.4- y a su ves a dos redes en sus puertos E0 -172.16.64.1- y E1 -172.31.32.1-. Lo que tengo que hacer es:
Permitir el libre acceso de las dos redes hacía Internet (s0), permitir el libre acceso de la red uno (E0) a la red dos (E1) y finalmente, permitir el solo los servicios de correo y DNS de la red dos (E1) hacía la red uno (E0). Lo único que entiendo con esto es que tengo que usar listas de acceso extendidas y que las tengo que asignar a un grupo, que aun no sé si será IN o OUT.
El problema es muy simple, lo difícil es que no se aplicar muy bien las instrucciones.
Solo tengo que enlazar el Router de una red externa (204.204.7.4) a su puerto Serial 1.
Además en los puertos Ethernet 0 y 1 (172.16.64.1 y 172.31.32.1)existen dos redes LAN.
Me imagino que se necesitan 4 listas de acceso.
1.- Debe haber acceso total de las LAN a Internet (me imagino HTTP).
2.- Debe haber acceso total de la red 1 (Ethernet 0) hacia la red 2.
3.- Solo se permite el tráfico de DNS y Correo electrónico entre la red Lan 1 y la red Lan 2. La red 2 no tiene acceso de ningún tipo a la red Lan 1.
De antemano, muchas gracias!
JC
3 Respuestas
Respuesta de tarkus
1
La solución a su problema es muy simple, al menos por lo que acabas de escribir, y por lo que pude entender, y esta es la solución:
1.- Deberás crear una lista de acceso, te sugiero la 10 (si quieres, puedes usar la que gustes y no necesariamente debe ser extendida como planteaste anteriormente) entonces el comando que pondrás sera el siguiente:
Access-list 10 deny 172.31.0.0
Access-list 10 permit any
Despues te vas a la interfaz eth0 y configuras la sgte linea de comando:
Ip access-group 10 out.-
Con esto obtendrás lo que necesitas... nada más que eso.-
Resumen: Ambas redes saldrán a internet y tendrán privilegios de DNS y correo electrónico, la red 1 tendrá acceso hacia la red 2 pero la red 2 no tendrá acceso a la red 1.-
1.- Deberás crear una lista de acceso, te sugiero la 10 (si quieres, puedes usar la que gustes y no necesariamente debe ser extendida como planteaste anteriormente) entonces el comando que pondrás sera el siguiente:
Access-list 10 deny 172.31.0.0
Access-list 10 permit any
Despues te vas a la interfaz eth0 y configuras la sgte linea de comando:
Ip access-group 10 out.-
Con esto obtendrás lo que necesitas... nada más que eso.-
Resumen: Ambas redes saldrán a internet y tendrán privilegios de DNS y correo electrónico, la red 1 tendrá acceso hacia la red 2 pero la red 2 no tendrá acceso a la red 1.-
Respuesta de huesos76
1
A ver si te puedo ayudar. El funcionamiento de las ACLS es el siguiente:
Access-list 101 permit/deny (red origen) (red destino) puerto
EJ: access-list 101 deny tcp any host (tu ip publica) eq telnet
Esta access-list te bloquearia cualquier conexion Telnet que intentarar hacer de Internet a tu Ip publica. Para aplicarla te vas a la configuracion de la Interfaz y la aplicas:
Ip access-group 101 in
Las interfazes del router se miran así
(LAN) in---> e0 <--out-| router |-out-->s0<--in (internet).
Esto parece la practica TCS del curso Networking de Cisco, ¿lo estas haciendo?
Espero haberte ayudado. Si estas haciendo el TCS de Cisco mirar si aun tengo la configuración de ACLS que hice en la entrega de la practica.
Access-list 101 permit/deny (red origen) (red destino) puerto
EJ: access-list 101 deny tcp any host (tu ip publica) eq telnet
Esta access-list te bloquearia cualquier conexion Telnet que intentarar hacer de Internet a tu Ip publica. Para aplicarla te vas a la configuracion de la Interfaz y la aplicas:
Ip access-group 101 in
Las interfazes del router se miran así
(LAN) in---> e0 <--out-| router |-out-->s0<--in (internet).
Esto parece la practica TCS del curso Networking de Cisco, ¿lo estas haciendo?
Espero haberte ayudado. Si estas haciendo el TCS de Cisco mirar si aun tengo la configuración de ACLS que hice en la entrega de la practica.
Si, adivinazte, de hecho estoy realizando la practica, que en mi caso cuenta (o contaba) para la calificación del Programa.
El proyecto ya fue entregado, pero aun así te agradezco que te hayas tomado la molestia.
Saludos!
JC
PD.: Si todavía tienes tu trabajo, me agradaría mucho me lo prestaras, para saber en que estuve mal o que pude haber mejorado.
El proyecto ya fue entregado, pero aun así te agradezco que te hayas tomado la molestia.
Saludos!
JC
PD.: Si todavía tienes tu trabajo, me agradaría mucho me lo prestaras, para saber en que estuve mal o que pude haber mejorado.
Respuesta de arjona
1
Me imagino que de el router tienes configuradas la Ethernet 0 y la Ethernet 1 bueno si es así no te tendría que dar ningún tipo de conflicto mira espero que me des más detalles y que me mandes tu correo para mandarte la configuración de nuevo de tu router solo mandame que router utilizas y yo te mandares un archivo a lo que esto viendo es problema de configuración de tu router así que yo te pediría que me digas las serie de tu router ok bueno mi amigo.
Tienes razón el Router ya tiene configuradas la Interfaces, solo necesito las ACLs, la configuración es así como te la comento:
{esquema centrado}
INTERNET
||
||
||
----
----------
-- ROUTER --
----------
------
172.16.64.1 /E0 E1\ 172.31.32.1
/ \
/ \
RED 1 RED 2
El Router es un 2500 (¿acaso no es igual en otros Routers?)
Saludos
JC
{esquema centrado}
INTERNET
||
||
||
----
----------
-- ROUTER --
----------
------
172.16.64.1 /E0 E1\ 172.31.32.1
/ \
/ \
RED 1 RED 2
El Router es un 2500 (¿acaso no es igual en otros Routers?)
Saludos
JC
Username Arjona password Arjona
int bri0
Ip address [. ] # Utilizar valores adecuados
No ip directed-broadcast
Encapsulation ppp
ppp authentication chap callin
Dialer-group 1
Isdn switch-type basic-net3
No shutdown
exit
Dialer-list 1 protocol ip permit
Este prosedimeiento obio lo tienes que hacer en administrador he espero y te sirva o sino veremos otra forma de hacerlo.
int bri0
Ip address [. ] # Utilizar valores adecuados
No ip directed-broadcast
Encapsulation ppp
ppp authentication chap callin
Dialer-group 1
Isdn switch-type basic-net3
No shutdown
exit
Dialer-list 1 protocol ip permit
Este prosedimeiento obio lo tienes que hacer en administrador he espero y te sirva o sino veremos otra forma de hacerlo.