cancelar
Mostrando los resultados de 
Buscar en lugar de 
Quiere decir: 
cancel
Avisos
Ask Me Anything - Webex Bots
1403
Visitas
5
ÚTIL
1
Respuestas
Isai
Beginner

Permitir IP'S impares y bloquear Telnet con ACL

Hola buenas tardes a toda la comunidad, necesito un poco de orientación con una práctica de ejemplo de ACL, mis puntos a realizar son los siguientes:

 

 

1. Crear una lista de acceso que no permita a la VLAN 10, 70, 45 Y 20 la comunicación por HTTP a todos sus dispositivos.

2. Crear ACL que solo permita la comunicación por HTTPS las direcciones impares  con Facebook y google.

3. Crear ACL que Crear una ACL que sólo permita a la VLAN 100 la comunicación por TELNET

 

La parte 1 ya la tengo completa y funciona bien, esta es mi configuración:

 

access-list 100 deny TCP 10.0.17.0 0.0.0.255 host 157.240.17.35 eq 80
access-list 100 deny TCP 10.0.17.0 0.0.0.255 host 172.217.5.174 eq 80
access-list 100 deny TCP 10.0.19.0 0.0.0.63 host 157.240.17.35 eq 80
access-list 100 deny TCP 10.0.19.0 0.0.0.63 host 172.217.5.174 eq 80
access-list 100 deny TCP 10.0.18.128 0.0.0.127 host 157.240.17.35 eq 80
access-list 100 deny TCP 10.0.18.128 0.0.0.127 host 172.217.5.174 eq 80
access-list 100 deny TCP 10.0.8.0 0.0.1.255 host 157.240.17.35 eq 80
access-list 100 deny TCP 10.0.8.0 0.0.1.255 host 172.217.5.174 eq 80
int s0/0/1
ip access-group 100 out
exit
access-list 100 permit ip any any

 

En lo que tengo duda son en los últimos 2 puntos, adjunto imágen de mi práctica de ejemplo

1 SOLUCIÓN ACEPTADA

Soluciones aceptadas
luis_cordova
VIP Advisor

Hola @Isai 

 

Para el punto 2, puedes crear una entrada para cada red de tu topologia y permitir solo los impares a la IP de facebook y otra con la IP de Google, indicando el puerto HTTPS.

En una discusión anterior te había explicado un poco como hacer para filtrar por pares e impares.

En resumen, dejamos indicado la IP del primer host valido, pues tiene el bit 1 encendido y en la wildcard dejamos en 0 el ultimo bit.

La ACL se podría aplicar en la interfaz Gig0/0, con direccion de salida(out) en el router INTERNET1

 

access-list 101 permit TCP 10.0.17.1 0.0.0.254 host IP facebook eq 443 <-- puerto HTTPS

access-list 101 permit TCP 10.0.19.1 0.0.0.62 host IP facebook eq 443 

access-list 101 permit TCP 10.0.18.129 0.0.0.126 host IP facebook eq 443 

access-list 101 permit TCP 10.0.8.1 0.0.1.254 host IP facebook eq 443 

Debes tener una entrada por cada red que tenga hosts de tu topología.

 

Para Google, repites la ACL, cambiando la IP de facebook por la de Google, y la puedes aplicar en la interfaz Gig0/0, con dirección de salida(out) en el router INTERNET2.

 

Para el punto 3, puedes crear una ACL estándar que solo permita la VLAN 100 y aplicarla en las lineas VTY(obviamente, debes habilitar telnet en los dispositivos previamente).

Por ejemplo:

access-list 10 permit redVLAN100 wildcardVLAN100

line vty 0 4

ip access-class 10 in

 

Esto lo puedes repetir en todos tus dispositivos de comunicación.

 

Saludos

Ver la solución en mensaje original publicado

1 RESPUESTA 1
luis_cordova
VIP Advisor

Hola @Isai 

 

Para el punto 2, puedes crear una entrada para cada red de tu topologia y permitir solo los impares a la IP de facebook y otra con la IP de Google, indicando el puerto HTTPS.

En una discusión anterior te había explicado un poco como hacer para filtrar por pares e impares.

En resumen, dejamos indicado la IP del primer host valido, pues tiene el bit 1 encendido y en la wildcard dejamos en 0 el ultimo bit.

La ACL se podría aplicar en la interfaz Gig0/0, con direccion de salida(out) en el router INTERNET1

 

access-list 101 permit TCP 10.0.17.1 0.0.0.254 host IP facebook eq 443 <-- puerto HTTPS

access-list 101 permit TCP 10.0.19.1 0.0.0.62 host IP facebook eq 443 

access-list 101 permit TCP 10.0.18.129 0.0.0.126 host IP facebook eq 443 

access-list 101 permit TCP 10.0.8.1 0.0.1.254 host IP facebook eq 443 

Debes tener una entrada por cada red que tenga hosts de tu topología.

 

Para Google, repites la ACL, cambiando la IP de facebook por la de Google, y la puedes aplicar en la interfaz Gig0/0, con dirección de salida(out) en el router INTERNET2.

 

Para el punto 3, puedes crear una ACL estándar que solo permita la VLAN 100 y aplicarla en las lineas VTY(obviamente, debes habilitar telnet en los dispositivos previamente).

Por ejemplo:

access-list 10 permit redVLAN100 wildcardVLAN100

line vty 0 4

ip access-class 10 in

 

Esto lo puedes repetir en todos tus dispositivos de comunicación.

 

Saludos

Crear
Reconozca a un colega
Content for Community-Ad