el 04-05-2021 05:19 PM
Buenas noches estimados, Espero esten todos muy bien y con mucha salud!
Quisiera que me orientaran un poco con el tema de bloquear protocolos en router, bien sea ICMP, Telnet, SSH, que no sean accesibles desde internet. Por ejemplo, yo desde mi casa no deberia poder hacer ping a una direccion IP publica de una Equis Organizacion.
Mas desde lo interno si para fines administrativos.
Por donde podria comenzar, que se recomienda bloquear? Es factible bloquear todo ICMP?
Quedo atento, muchas gracias!
¡Resuelto! Ir a solución.
el 04-05-2021 07:02 PM
Hola Jose
En este esquema, la interfaz f0/0 conecta hacia la WAN.
Entonces, con esta ACL:
Router(config)#access-list 101 deny icmp any host <IP publica>
Router(config)#interface fastEthernet 0/0
Router(config-if)#ip access-group 101 in
Estarás denegando paquetes ICMP entrantes, que provengan desde cualquier destino hacia tu IP publica.
Estos paquetes serán filtrados al entrar desde la WAN, pero los paquetes procedentes desde la LAN (f0/1) no serán filtrados.
Saludos
el 04-05-2021 05:45 PM
Hola Jose
Puedes configurar una ACL extendida denegando los paquetes ICMP entrantes, desde todo origen, y aplicar la ACL en la interfaz que conecta el router con la WAN.
De esta forma, se filtrarán solo los paquetes que vengan desde internet.
Saludos
el 04-05-2021 05:52 PM
Puedes colocar algu ejemplo? Ya estoy viendo como configurarlo
el 04-05-2021 07:02 PM
Hola Jose
En este esquema, la interfaz f0/0 conecta hacia la WAN.
Entonces, con esta ACL:
Router(config)#access-list 101 deny icmp any host <IP publica>
Router(config)#interface fastEthernet 0/0
Router(config-if)#ip access-group 101 in
Estarás denegando paquetes ICMP entrantes, que provengan desde cualquier destino hacia tu IP publica.
Estos paquetes serán filtrados al entrar desde la WAN, pero los paquetes procedentes desde la LAN (f0/1) no serán filtrados.
Saludos
el 04-06-2021 10:17 AM
Hola que tal ? en el caso de que por ejemplo aplique esa configuracion, si seria interesante validar si los host de la LAN si puedan hacer Ping hacia Internet a fines de pruebas.. si se aplica un ACL bloqueando todo ICMP, no afectaria las peticiones de ping que se hagan desde la LAN?
Muchas gracias de antemano por tu apoyo
04-05-2021 08:28 PM - editado 04-05-2021 08:41 PM
Hola Jose,
Pues desde el exterior no se deberia alcanzar nada en el router a menos que lo permitas, pero tambien puedes aplicar el comando: no ip unreachables, bajo la interface que conecta con el exterior para bloquee los traceroutes y ayuda a proteger contra DoS.
Ejemplo
interface g0/0
ip add 190.0.55.15 255.255.255.0
no ip unreacheables
Lo otro para que no ingresen a traves de Telnet o SSH es utilizar una ACL y Access-class para indicar quienes si pueden llegarle internamente o desde el exterior.
Ejemplo:
ip access-list standard VTY
permit 192.168.10.0 0.0.0.255
permit host 190.0.55.55
permit 172.16.1.17 0.0.0.255
line vty 0 15
transport input ssh
access-class VTY in
Saludos
el 04-06-2021 10:23 AM
Muchas gracias Julio, por el apoyo siempre.
Voy a diseñar el ACL para aplicar las configuraciones necesarias.
Cordialmente,
el 04-06-2021 04:08 AM
Gracias por comunicarte con la comunidad de cisco, José, puedes aplicar un ACL para que solamente una Red puede tener acceso vía ssh p vía Telnet al dispositivo.
ejemplo:
Standar ip access list in
10 permit xx.xx.xx.xx
Luegto debes a´plicar la ACL en las lineas vty del dispositivo:
Line vty 0 4
access-class xx in
line vty 5 15
acces-class 95 in
como indica uno de nuestros expertos aplicas el comando
no ip unreachables Este
recuerda calificar este y todos los mensajes de ayuda, esto motiva a continuar con la contribución dentro de la comunidad de cisco.
el 04-06-2021 09:37 AM
Hola a todos
Estimados Luis, Julio y Javier gracias por asistir a Jose con la inquietud
el 04-27-2021 06:27 AM
Buen dia estimados,
Se que deje ya por resuelto el tema pero algo no me esta funcionado como debería, les adjunto una imagen ilustrativa:
Ahora surgen dos dudas,
La primera es que estoy aplicando la ACL en la interface que esta resaltada con el circulo en azul, y estoy aplicando esa configuracion, "Recomendada" lo que deseo es que no les hagan PING a mis direcciones publicas. Pero que desde lo interno no sea afectado. Cosa que aplicando la ACL se cae el servicio.
La segunda, es esta bien que este aplicado la segunda linea permit any any en la ACL?
Quedo atento, y disculpen que escriba en este caso solucionado-
Descubra y salve sus notas favoritas. Vuelva a encontrar las respuestas de los expertos, guías paso a paso, temas recientes y mucho más.
¿Es nuevo por aquí? Empiece con estos tips. Cómo usar la comunidad Guía para nuevos miembros
Navegue y encuentre contenido personalizado de la comunidad