Buy or Renew
Buy or Renew
Duo Security forums now LIVE! Get answers to all your Duo Security questions. Learn more
cancel
Turn on suggestions
Auto-suggest helps you quickly narrow down your search results by suggesting possible matches as you type.
Showing results for 
Search instead for 
Did you mean: 
cancel
Start a conversation
503
Views
0
Helpful
2
Replies

ACL

sociedadportuaria
Level 1
Level 1

‎10-04-2012 09:36 PM

Mi red es Cisco, tengo un roture que recibe los proveedores de internet después del roture tengo un switch y después el firewall. Me están haciendo ataques permanentemente y llega a un momento que generan negación de servicio, en el firewall, para contrarrestar un poco trate de hacer unas ACL en la interfaz WAN del roture funciona bien de entrada mi red pero desde mi LAN no sale nada. Lo que hice fue prácticamente colocar las reglas del firewall en la interfaz wan del roture.

Necesito la ayuda de alguien.

Gracias.

Sent from Cisco Technical Support iPhone App

Jose Luis Diaz Ortega Ingeniero de Sistemas. Administrador de redes.
Labels:
0 Helpful
2 Replies 2

nkarthikeyan
Level 7
Level 7

‎10-06-2012 12:53 AM

HI Gracias,

¿Cuál es la ACL que han puesto en la interfaz WAN?. Para prevenir de ataque de denegación de servicios que usted necesita tener una fuerte restricción en la interfaz de conexión ISP de su router y su interfaz externa de su firewall. También usted puede tener la IP verificar camino inverso y el proxy arp configurado para todas las interfaces en el servidor de seguridad. Usted puede tener la ACL que debe estar apuntando en dirección a la interfaz, pero se asegura de que el router actuará como estado. Su debe permitir por tanto la dirección. He utilizado el traductor de google por favor, perdóname si mis palabras son mal en español.

Por favor, tasa si la información dada ayuda.

por

Karthik

0 Helpful

sociedadportuaria
Level 1
Level 1
In response to nkarthikeyan

‎10-07-2012 07:56 AM

Gracias por tu colaboración

La ACL que estoy aplicando es la siguiente

configuracion de la interfaz

interface FastEthernet0/0

ip address 10.10.1.5 255.255.255.0

ip access-group FILTRO_INTERNET_INTERFAZ_WAN in

ip access-list extended FILTRO_INTERNET_INTERFAZ_WAN

remark -

remark NEGAR IPS

deny ip host 190.255.219.170 any

remark -

remark BGP_COLUMBUS

permit tcp host 190.200.40.153 eq bgp host 190.200.40.154

permit tcp host 190.200.40.153 host 190.200.40.154 eq bgp

remark -

remark BGP_LEVEL_3

permit tcp host 10.10.1.2 eq bgp host 10.10.1.5

permit tcp host 10.10.1.2 host 10.10.1.5 eq bgp

remark -

remark POLITICA_CONSULTA_EXTERNA_DNS

permit udp any host 64.76.97.56 eq domain

permit udp any eq domain host 64.76.97.56

permit tcp any host 64.76.97.56 eq domain

permit tcp any eq domain host 64.76.97.56

permit udp any host 64.76.97.57 eq domain

permit udp any eq domain host 64.76.97.57

permit tcp any host 64.76.97.57 eq domain

permit tcp any eq domain host 64.76.97.57

remark -

remark POLITICA_RECEPCION_CORREO_BARRACUDAS

permit tcp any host 64.76.97.6 eq smtp

permit tcp any host 64.76.97.7 eq smtp

remark -

remark POLITICA_EDI

permit tcp host 193.106.119.7 host 64.76.97.56 eq 22

permit tcp host 193.109.119.16 host 64.76.97.57 eq 22

remark -

remark POLITICA_FTP_PUBLICO

permit tcp any host 64.76.97.56 eq ftp

permit tcp any host 64.76.97.56 eq ftp-data established

remark -

remark POLITICA_MEGAPORT

permit tcp host 70.167.181.70 host 64.76.97.15 eq 8200

remark -

remark POLITICA_CLIENTES_EXTERNOS

permit tcp any 64.76.97.32 0.0.0.31 eq www

permit tcp any 64.76.97.32 0.0.0.31 eq 8080

permit tcp any 64.76.97.32 0.0.0.31 eq 8081

permit tcp any 64.76.97.32 0.0.0.31 eq 8444

permit tcp any 64.76.97.32 0.0.0.31 eq 443

remark -

remark POLITICA_CONEXION_VPN_NORTEL

permit tcp any host 64.76.97.3 eq 1443

permit tcp any host 64.76.97.3 eq 500

permit udp any host 64.76.97.3 eq isakmp

permit gre any host 64.76.97.3

permit esp any host 64.76.97.3

permit ahp any host 64.76.97.3

remark -

remark TODO_LO_DEMAS_ESTA_BLOQUEADO

deny ip any any

dicha access list la aplico en la interfaz WAN

La topología es la siguiente adjunta.

Aqui, les voy a detallar en esta imagen un poco mas la topologia, el router donde se esta aplicando la ACL es el RTR-INTERNET en la interfaz Fa0/0 y la aplico como IN, despues que aplico la ACL lo que estan encerrado en negro que pertenecen a la INTERNET puedelln llegar a los servicios que estan encerrado en naranaja (Mi capa de INERNET) y verde (Mi capa de DMZ). Pero los que estan encerrado en rojo no pueden llegar a lada de lo que esta encerrado en NEGRO.

En las capas VERDE manejo una subred de ip publicas al igual en la capa NARANJA. En la LAN que es la de color AZUL si manejo direcciones ip privadas y el FIREWALL hace el NAT.

Gracias. Saludos

Jose Luis Diaz Ortega Ingeniero de Sistemas. Administrador de redes.
Preview file
128 KB
0 Helpful
Customers Also Viewed These Support Documents