jueves, 23 de octubre de 2008

Ejemplo resuelto completo de Listas de Acceso

La empresa ACME posee dos sucursales, una en Bs As y otra en Jujuy. En Jujuy, se encuentra el servidor de la intranet de la empresa y en Bs As el servidor web corporativo. Como responsable de networking de la empresa, ya se ha diseñado el esquema de direccionamiento, el protocolo de enrutamiento y la topología física de la red. Sólo resta aplicar las siguientes políticas de seguridad en las interfases de los routers:
www1:
Políticas:

• Ping a su GateWay

• Ping a Host 1

• AGRUPAR LA LISTA DE ACCESO A LA ENTRADA DE JUJUY EN E0

JUJUY(CONFIG)#access-list 101 permit icmp 11.112.0.1 0.0.0.0 11.112.0.2 0.0.0.0 echo (Ping a su GateWay)

JUJUY(CONFIG)#access-list 101 permit icmp 11.112.0.1 0.0.0.0 11.16.0.1 0.0.0.0 echo (Ping host1)

JUJUY(CONFIG)#access-list 101 permit icmp 11.112.0.1 0.0.0.0 11.48.0.1 0.0.0.0 echo-reply (devuelve el ping de www2) JUJUY(CONFIG)#access-list 101 permit icmp 11.112.0.1 0.0.0.0 11.16.0.1 0.0.0.0 echo-reply (devuelve el ping de host1) JUJUY(CONFIG)#access-list 101 permit tcp 11.112.0.1 0.0.0.0 11.48.0.1 0.0.0.0 established (devuelve el http a www2)

Host1
Políticas:

• HTTP a www2

• Ping a www1

• AGRUPAR LA LISTA DE ACCESO A LA ENTRADA DE BSAS EN E0/0.1

BSAS(CONFIG)#access-list 101 permit tcp 11.16.0.1 0.0.0.0 11.48.0.1 0.0.0.0 eq 80 (http a www2)

BSAS(CONFIG)#access-list 101 permit icmp 11.16.0.1 0.0.0.0 11.112.0.2 0.0.0.0 echo (ping a www1)

BSAS(CONFIG)#access-list 101 permit icmp 11.16.0.1 0.0.0.0 11.112.0.2 0.0.0.0 echo-reply (devuelve el ping a www1)

www2
Políticas:

• Ping a su GateWay

• Ping a www1

• HTTP a www1

• AGRUPAR LA LISTA DE ACCESO A LA ENTRADA DE BSAS EN E0/0.2

BSAS(CONFIG)#access-list 102 permit icmp 11.48.0.1 0.0.0.0 11.48.0.2 0.0.0.0 echo (ping al gateway)

BSAS(CONFIG)#access-list 102 permit icmp 11.48.0.1 0.0.0.0 11.112.0.1 0.0.0.0 echo (ping a www1)

BSAS(CONFIG)#access-list 102 pemit tcp 11.48.0.1 0.0.0.0 11.112.0.1 0.0.0.0 eq 80 (http a www1)

BSAS(CONFIG)#access-list 102 pemit tcp 11.48.0.1 0.0.0.0 11.16.0.1 0.0.0.0 established (devuelve el http a host 1)

Aclaración: Las sentencias en azul son incluidas a lo último, para poder garantizar el tráfico pedido, ya que debido a la agrupación de listas de acceso en los routers, se filtraría el tráfico de "vuelta" de los pings y el http. El comando established, devuelve sólo las conexiones que han sido establecidas.

Publicado por Mdalmo en 10/23/2008 11:49:00 p. m.
Etiquetas: ,

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)