ACL Extendidas

  • 0

ACL Extendidas

Anteriormente hemos visto como hacer ACL’s, ahora daremos un paso mas y haremos ACL extendidas, en esta entrada veremos como bloquear puertos en nuestro router para que no se pueda acceder a la red mediante ellos o que solo se puedan acceder mediante ellos.

 

En primer lugar vamos a montar un escenario con GNS3 en el que tendremos que usar virtual box
para usar los PC’s de una manera mas completa y dinámica.
Para realizar la práctica necesitamos tener instalado en linux el servidor apache por elo antes de
empezar arrancamos la maquina en modo puente e instalamos el servicio apache con el comando

#apt-get install apache2

 

Captura

 

Captura

 

 

También añadiremos una VM cliente donde puedas ejecutar un navegador( da igual que sea Linux o Windows).

 

Captura

 

Posteriormente uniremos las máquinas con un router CISCO

Captura

Debemos configurar la interfaz de red para que tenga una dirección IP que nosotros queramos. En
primer lugar nos vamos a la máquina debian al network manager y le asignamos la IP que sera la
192.168.1.2:

 

Captura

 

Y luego hacemos lo mismos con Windows, pero hay que recordad que debemos asignarle una IP
en de otra red que puede ser la 192.168.2.2:

 

Captura

 

Las interfaces son “ETH1” y “Conexion de área local 2” porque estan conectados por “e1” ya que
GNS3 no nos permite hacerlo por la interfaz “e0”.

 

A continuación vamos a configurar las interfaces de route con los comando pertinentes.

 

R1(config)#interface fastEthernet 1/0
R1(config-if)#ip address 192.168.2.1 255.255.255.0
R1(config-if)#no shutdown
R1(config-if)#exit
R1(config)#interface fastEthernet 1/1
R1(config-if)#ip address 192.168.1.1 255.255.255.0
R1(config-if)#no shutdown
R1(config-if)#^Z

 

 

Y comprobamos que podemos abrir una pagina en el cliente windows al conectarse al servidor
linux.

 

Captura

 

 

Como podemos comprobar la conexión es exitosa y podemos visualizar la pagina que de prueba
que incluye el “apache2”.

 

 

Introducimos la ACL Extendida.

Ahora lo que debemos de hacer es incluir en nuestro router una lista de control de acceso para un
puerto en concreto, lo que vamos a hacer es impedir que el cliente de windows pueda acceder a la
pagina web del servidor linux.

 

En primer lugar nos vamos al router cisco y añadimos la lista de control de acceso con el puerto
que queramos modificar.

 

R1(config)#access-list 101 deny tcp 192.168.2.2 0.0.0.0 any eq 80
R1(config)#access-list 101 permit ip any any

 

La segunda línea se utiliza para que pueda la maquina cliente seguir teniendo ping con la maquina
servidor.

 

Luego debemos de asignar la lista de control de acceso anterior a la interfaz de red que queremos
que en este caso será la 1/0.

 

R1(config)#interface fastEthernet 1/0
R1(config-if)#ip access-group 101 in

 

Ya terminado esto nos vamos al cliente y borramos la cache del explorador para que no tire de ella
a la hora de consultar la pagina y nos salga.

 

Captura

 

Comprobamos que no podemos acceder a la página, pero ahora comprobamos que si podemos
ejecutar ping.

 

Captura

 

De esta manera ya tenemos funcionando nuestra lista de control de acceso avanzada funcionando
en una red.