La empresa ACME posee dos sucursales, una en Bs As y otra en Jujuy. En Jujuy, se encuentra el servidor de la intranet de la empresa y en Bs As el servidor web corporativo. Como responsable de networking de la empresa, ya se ha diseñado el esquema de direccionamiento, el protocolo de enrutamiento y la topología física de la red. Sólo resta aplicar las siguientes políticas de seguridad en las interfases de los routers:
www1:
Políticas:
• Ping a su GateWay
• Ping a Host 1
• AGRUPAR LA LISTA DE ACCESO A LA ENTRADA DE JUJUY EN E0
JUJUY(CONFIG)#access-list 101 permit icmp 11.112.0.1 0.0.0.0 11.112.0.2 0.0.0.0 echo (Ping a su GateWay)
JUJUY(CONFIG)#access-list 101 permit icmp 11.112.0.1 0.0.0.0 11.16.0.1 0.0.0.0 echo (Ping host1)
JUJUY(CONFIG)#access-list 101 permit icmp 11.112.0.1 0.0.0.0 11.48.0.1 0.0.0.0 echo-reply (devuelve el ping de www2) JUJUY(CONFIG)#access-list 101 permit icmp 11.112.0.1 0.0.0.0 11.16.0.1 0.0.0.0 echo-reply (devuelve el ping de host1) JUJUY(CONFIG)#access-list 101 permit tcp 11.112.0.1 0.0.0.0 11.48.0.1 0.0.0.0 established (devuelve el http a www2)
Host1
Políticas:
• HTTP a www2
• Ping a www1
• AGRUPAR LA LISTA DE ACCESO A LA ENTRADA DE BSAS EN E0/0.1
BSAS(CONFIG)#access-list 101 permit tcp 11.16.0.1 0.0.0.0 11.48.0.1 0.0.0.0 eq 80 (http a www2)
BSAS(CONFIG)#access-list 101 permit icmp 11.16.0.1 0.0.0.0 11.112.0.2 0.0.0.0 echo (ping a www1)
BSAS(CONFIG)#access-list 101 permit icmp 11.16.0.1 0.0.0.0 11.112.0.2 0.0.0.0 echo-reply (devuelve el ping a www1)
www2
Políticas:
• Ping a su GateWay
• Ping a www1
• HTTP a www1
• AGRUPAR LA LISTA DE ACCESO A LA ENTRADA DE BSAS EN E0/0.2
BSAS(CONFIG)#access-list 102 permit icmp 11.48.0.1 0.0.0.0 11.48.0.2 0.0.0.0 echo (ping al gateway)
BSAS(CONFIG)#access-list 102 permit icmp 11.48.0.1 0.0.0.0 11.112.0.1 0.0.0.0 echo (ping a www1)
BSAS(CONFIG)#access-list 102 pemit tcp 11.48.0.1 0.0.0.0 11.112.0.1 0.0.0.0 eq 80 (http a www1)
BSAS(CONFIG)#access-list 102 pemit tcp 11.48.0.1 0.0.0.0 11.16.0.1 0.0.0.0 established (devuelve el http a host 1)
Aclaración: Las sentencias en azul son incluidas a lo último, para poder garantizar el tráfico pedido, ya que debido a la agrupación de listas de acceso en los routers, se filtraría el tráfico de "vuelta" de los pings y el http. El comando established, devuelve sólo las conexiones que han sido establecidas.
jueves, 23 de octubre de 2008
Ejemplo resuelto completo de Listas de Acceso
Suscribirse a:
Enviar comentarios (Atom)
No hay comentarios:
Publicar un comentario