01-13-2021 06:33 PM - editado 01-13-2021 07:46 PM
Hola a toda la comunidad, tengo una duda al implementar una ACL, ¿Cómo puedo hacer para denegar el acceso a las direcciones que son múltiplos de 4?
Mi IP de red es 10.0.8.0
Por ejemplo, no quiero que pase la 10.0.8.4, 10.0.8.8, 10.0.8.16 y así sucesivamente.
Me gustaría saber si alguien me podría explicar
¡Resuelto! Ir a solución.
01-14-2021 08:17 AM - editado 01-14-2021 08:37 AM
Hola @Isai
Creo que una posibilidad sería obligando a que lo dos últimos bits siempre estén apagados(en cero).
Con ello, se podría generar una secuencia de múltiplos de 4.
En tú caso:
deny 10.0.8.0 0.0.0.252
Saludos
el 01-14-2021 08:26 AM
Con esa opción , obligando que los 2 últimos bits siempre estén en cero, la secuencia sería esta:
0000 0000= 0
0000 0100 = 4
0000 1000 = 8
0000 1100 = 12
0001 0000 = 16
0001 0100 = 20
0001 1000 = 24
Y así consecutivamente
1111 1100 = 252
Saludos
01-14-2021 09:01 AM - editado 01-14-2021 09:09 AM
Hola @Isai
Las direcciones IP y las wildcard sirven para marcar las direcciones a filtrar.
Lo que se hace con las IP filtradas dependerá de la sentencia anterior.
En tu caso, diría que solo basta con cambiar la sentencia de deny a permit:
permit 10.0.8.0 0.0.0.252
Ahora bien, si vas a aplicar la ACL en una red real, debes tener en cuenta que al final de toda ACL hay una denegación implícita que deniega todo lo que no coincida con ninguna sentencia.
Por esto, en el primer ejemplo, lo recomendado sería:
deny 10.0.8.0 0.0.0.252
permit any <- esta sentencia permite todo trafico que no coincida antes
En el segundo caso, creo que lo recomendado sería:
permit 10.0.8.0 0.0.0.252
deny 10.0.8.0 0.0.0.255 <— esta sentencia deniega el tráfico sobrante de esta red
permit any <- esta sentencia permite todo trafico que no coincida antes
La última sentencia sirve para evitar que el tráfico procedente de redes que no pertenecen a la red 10.0.8.0 sean denegadas.
Saludos
el 01-14-2021 04:37 AM
Hola estimado buenos días,
Desafortunadamente creo que no es posible hacer lo que requieres, filtrar direcciones pares e impares es relativamente fácil porque siempre tienes un bit "común" encendido (por ej. access-list 1 permit 10.0.8.1 0.0.0.254 -> con este ejemplo permitirías las direcciones impares porque siempre tienes el bit "1" en común, algo similar ocurriría con las direcciones pares y el bit "2"), no ocurre lo mismo en el caso que planteas.
***Por favor no olvides calificar y/o marcar como solución las respuestas útiles, tu calificación promueve nuestra participación.***
Saludos,
01-14-2021 08:17 AM - editado 01-14-2021 08:37 AM
Hola @Isai
Creo que una posibilidad sería obligando a que lo dos últimos bits siempre estén apagados(en cero).
Con ello, se podría generar una secuencia de múltiplos de 4.
En tú caso:
deny 10.0.8.0 0.0.0.252
Saludos
el 01-14-2021 08:26 AM
Con esa opción , obligando que los 2 últimos bits siempre estén en cero, la secuencia sería esta:
0000 0000= 0
0000 0100 = 4
0000 1000 = 8
0000 1100 = 12
0001 0000 = 16
0001 0100 = 20
0001 1000 = 24
Y así consecutivamente
1111 1100 = 252
Saludos
el 01-14-2021 08:46 AM
Muchas gracias, me sirvió mucho, ahora tengo otra pregunta, como puedo hacer ahora lo contario, ¿Cómo puedo hacer que solamente pasen las direcciones con múltiplos de 4?
01-14-2021 09:01 AM - editado 01-14-2021 09:09 AM
Hola @Isai
Las direcciones IP y las wildcard sirven para marcar las direcciones a filtrar.
Lo que se hace con las IP filtradas dependerá de la sentencia anterior.
En tu caso, diría que solo basta con cambiar la sentencia de deny a permit:
permit 10.0.8.0 0.0.0.252
Ahora bien, si vas a aplicar la ACL en una red real, debes tener en cuenta que al final de toda ACL hay una denegación implícita que deniega todo lo que no coincida con ninguna sentencia.
Por esto, en el primer ejemplo, lo recomendado sería:
deny 10.0.8.0 0.0.0.252
permit any <- esta sentencia permite todo trafico que no coincida antes
En el segundo caso, creo que lo recomendado sería:
permit 10.0.8.0 0.0.0.252
deny 10.0.8.0 0.0.0.255 <— esta sentencia deniega el tráfico sobrante de esta red
permit any <- esta sentencia permite todo trafico que no coincida antes
La última sentencia sirve para evitar que el tráfico procedente de redes que no pertenecen a la red 10.0.8.0 sean denegadas.
Saludos
el 01-14-2021 11:00 AM
hola @luis_cordova gracias por asistir a @Isai , siempre es un gusto leerte
Descubra y salve sus notas favoritas. Vuelva a encontrar las respuestas de los expertos, guías paso a paso, temas recientes y mucho más.
¿Es nuevo por aquí? Empiece con estos tips. Cómo usar la comunidad Guía para nuevos miembros
Navegue y encuentre contenido personalizado de la comunidad