Packet Tracer – Extended ACL’s

Expliquem, en aquest apunt, el funcionament de les Extended ACL’s. A diferència de les Standard, aquestes sí permeten filtrar per capa d’aplicació.

Partint del mateix escenari definit en l’apunt anterior, ara ens interessaria poder filtrar l’accés “només” al servidor FTP (i permetre, en canvi, l’accés a un servidor WWW).

El primer pas serà definir les ACL’s en concret. Les extended s’identificaran amb un número igual o superior al 100. En aquest cas, emprem el 100:

access-list 100 permit tcp 192.168.1.0 0.0.0.255 host 192.168.0.2 eq ftp
access-list 100 deny tcp 192.168.2.0 0.0.0.255 host 192.168.0.2 eq ftp

La primera línia significa que “permetrà” el tràfic des de l’origen 192.168.1.0/24 destinació al host ubicat a 192.168.0.2 sempre i quan el protocol sigui FTP.
La segona línia és similar però, en canvi, denegarà el tràfic des de l’origen ubicat a 192.168.2.0/24.

Ara, apliquem l’ACL definida a la interfície del router que connecta amb el servidor FTP:

router(config)#int f1/0
Router(config-if)#ip access-group 100 out

Fet!

Atenció amb l’aclariment següent: En el moment que s’ha aplicat una determinada ACL en una interfície, la política per defecte s’estableix a directament a deny. Per tant, en el cas que el servidor ubicat a l’adreça 192.168.0.2 també oferís un servidor web que ens agradaria que estigués disponible per ambdues xarxes, haurem de permetre-ho explícitament:

Router(config)#access-list 100 permit tcp 192.168.1.0 0.0.0.255 host 192.168.0.2 eq www
Router(config)#access-list 100 permit tcp 192.168.2.0 0.0.0.255 host 192.168.0.2 eq www

Gerard

Gerard Farràs i Ballabriga.