Anteriormente hemos visto como hacer ACL’s, ahora daremos un paso mas y haremos ACL extendidas, en esta entrada veremos como bloquear puertos en nuestro router para que no se pueda acceder a la red mediante ellos o que solo se puedan acceder mediante ellos.

 

En primer lugar vamos a montar un escenario con GNS3 en el que tendremos que usar virtual box
para usar los PC’s de una manera mas completa y dinámica.
Para realizar la práctica necesitamos tener instalado en linux el servidor apache por elo antes de
empezar arrancamos la maquina en modo puente e instalamos el servicio apache con el comando

#apt-get install apache2

 

Captura

 

Captura

 

 

También añadiremos una VM cliente donde puedas ejecutar un navegador( da igual que sea Linux o Windows).

 

Captura

 

Posteriormente uniremos las máquinas con un router CISCO

Captura

Debemos configurar la interfaz de red para que tenga una dirección IP que nosotros queramos. En
primer lugar nos vamos a la máquina debian al network manager y le asignamos la IP que sera la
192.168.1.2:

 

Captura

 

Y luego hacemos lo mismos con Windows, pero hay que recordad que debemos asignarle una IP
en de otra red que puede ser la 192.168.2.2:

 

Captura

 

Las interfaces son “ETH1” y “Conexion de área local 2” porque estan conectados por “e1” ya que
GNS3 no nos permite hacerlo por la interfaz “e0”.

 

A continuación vamos a configurar las interfaces de route con los comando pertinentes.

 

R1(config)#interface fastEthernet 1/0
R1(config-if)#ip address 192.168.2.1 255.255.255.0
R1(config-if)#no shutdown
R1(config-if)#exit
R1(config)#interface fastEthernet 1/1
R1(config-if)#ip address 192.168.1.1 255.255.255.0
R1(config-if)#no shutdown
R1(config-if)#^Z

 

 

Y comprobamos que podemos abrir una pagina en el cliente windows al conectarse al servidor
linux.

 

Captura

 

 

Como podemos comprobar la conexión es exitosa y podemos visualizar la pagina que de prueba
que incluye el “apache2”.

 

 

Introducimos la ACL Extendida.

Ahora lo que debemos de hacer es incluir en nuestro router una lista de control de acceso para un
puerto en concreto, lo que vamos a hacer es impedir que el cliente de windows pueda acceder a la
pagina web del servidor linux.

 

En primer lugar nos vamos al router cisco y añadimos la lista de control de acceso con el puerto
que queramos modificar.

 

R1(config)#access-list 101 deny tcp 192.168.2.2 0.0.0.0 any eq 80
R1(config)#access-list 101 permit ip any any

 

La segunda línea se utiliza para que pueda la maquina cliente seguir teniendo ping con la maquina
servidor.

 

Luego debemos de asignar la lista de control de acceso anterior a la interfaz de red que queremos
que en este caso será la 1/0.

 

R1(config)#interface fastEthernet 1/0
R1(config-if)#ip access-group 101 in

 

Ya terminado esto nos vamos al cliente y borramos la cache del explorador para que no tire de ella
a la hora de consultar la pagina y nos salga.

 

Captura

 

Comprobamos que no podemos acceder a la página, pero ahora comprobamos que si podemos
ejecutar ping.

 

Captura

 

De esta manera ya tenemos funcionando nuestra lista de control de acceso avanzada funcionando
en una red.

 

Categories: CISCO

Related Posts

CISCO

Encaminamiento Dinámico

En esta entrada vamos a ver como montar encaminamiento dinámico en linux, Windows Server y CISCO. El encaminamiento dinámico se encarga de elegir las rutas a seguir los paquetes de manera de que siempre cojan Continuar leyendo…

CISCO

Listas de Control de Aceso (ACL)

En esta entrada vamos a ver como implementar ACL en routers CISCO, pero antes debemos de saber que es una ACL. Una ACL es una formar de determinar los permisos de accesos apropiados a un Continuar leyendo…

CISCO

DHCP en router CISCO

En esta entrada lo que vamos a hacer es configurar un router CISCO para que haga las funciones de DHCP en una red, Este es un caso real, con un router de real (sin simulador). Continuar leyendo…