Está en la página 1de 9

Máscara wildcard

máscara wildcard

Una máscara wildcard se compara con una dirección IP. Los números en binario uno y cero en

la máscara, se usan para identificar cómo se deben manejar los bits de la dirección que desea

revisar.

Las máscaras wildcard están diseñadas para filtrar direcciones de host individuales o rangos, o

incluso se pueden filtrar direcciones de red.

Un cero significa que esa posición será verificada. Un 1 significa que esa posición no se

verificará.

Puntos importantes:

En el caso de las ACL extendidas, tanto en la dirección de origen como en la dirección destino, se

especifican las direcciones como dos grupos de números: una dirección de host o de red y una

máscara wildcard.

Para permitir o denegar una red o subred, la máscara wildcard es igual a la máscara de subred,

cambiando los “0” por “1” y los “1” por “0” (en binario).

Cuando se va a revisar una dirección de host, la máscara wildcard es 0.0.0.0 y esto puede

abreviarse como host dirección_ip Ejemplo: Revisar la dirección 199.5.7.45, se puede tener de

las dos formas siguientes:

199.5.7.45 0.0.0.0

host 199.5.7.45

Para permitir o denegar a todos, la direción debe ser 0.0.0.0 y la máscara wildcard debe ser

255.255.255.255. Esto se puede abreviar como any.

Ejemplos:

1. Si desea filtrar la dirección 199.33.7.57, y si recordamos que los ceros no verifican y los unos

verifican un bit, entonces la máscara de wildcard necesaria será la 0.0.0.0

2. Si desea que se filtre la red 199.33.7.0, la máscara de wildcard necesaria será la 0.0.0.255

porque como deseamos que se filtre una red, no importa lo que haya en la parte de host, que

puede ser desde un 0 hasta un 255, por lo que no es necesario verificarlo.

3. Obtener la máscara wildcard para la dirección 197.2.7.32 / 27


Como es una dirección de host, se toma en cuenta su máscara de subred si no es la máscara por

defecto (de 24 bits en este caso, ya que es una clase C).

Ponemos en binario el último octeto, que es el que filtraremos de forma especial, ya que los tres

primeros octetos se revisarán completos: 193.20.17.00100000

Validación de bits: 0.0.0.00011111 Se validan los tres primeros, es decir, se valida hasta donde

exista un “1”.

Máscara wildcard: 0.0.0.31

También puede usarse otra metodologia, restando la máscara de subred de 255.255.255.255:

255.255.255.255

– 255.255.255.224

———————-

0. 0. 0. 31 (Máscara Wildcard)

4. Obtener la máscara wildcard para la dirección 194.7.2.12 / 30

Igual que el ejemplo anterior, se valida una dirección de host y su máscara no es

la de defecto.

En binario el cuarto octeto: 194.7.2.00001100

Validación de bits: 0.0.0.00000011

Se ponen ceros hasta donde se encuentra un “1” al final, de izquierda a derecha, por lo que
pasando a decimal queda:

Máscara de wildcard: 0.0.0.3

También puede usarse la otra metodología:

255.255.255.255

– 255.255.255.252

———————–

0. 0. 0. 3 (Máscara Wildcard)

5. Obtener la máscara wildcard para filtrar un rango de direcciones, de 195.18.1.150 a


195.18.1.175

Cuando se trabaja con filtros para grupos, es necesario convertir a binario algunos números
que estén dentro del rango, incluyendo el primero y el último número del rango, y se van
comparando bit por bit, a ver en qué bits coinciden.

Estos se marcan en negritas:


150 = 10010110

155 = 10011011

160 = 10100000

175 = 10101111

De ahí, se obtiene el patrón que coincide en todo el filtro: ’10’ que se transforma a ‘00111111’
para indicar que los ceros verifican los dos primeros bits y los unos no verifican los bits
restantes.

El 00111111 en decimal es 63, entonces se tiene que la máscara wildcard es 0.0.0.63

6. Obtener la máscara wildcard para filtrar un rango de direcciones, de rangos 172.17.224.0 a


172.17.239.255

Se convierten a binario algunos números que estén dentro del rango, recuerde que esta es una
dirección de clase B, por lo que el tercer octeto es el que toma en cuenta para el rango. Se va
comparando bit por bit, a ver en qué posiciones coinciden. Estos se marcan en negritas:

224 = 11100000

228 = 11100100

230 = 11100110

239 = 11101111

Se obtiene el patrón que coincide en todo el filtro: ‘1110’ que se transforma a ‘00001111’ para
indicar que los ceros verifican los cuatro primeros bits y los unos no verifican los bits restantes.

El 00001111 en decimal es 15, entonces se tiene:

Máscara wildcard: 0.0.15.255

Porque los dos primeros octetos se verifican, el tercero se verifica en cuatro posiciones y todo
lo demás ya no se verifica.

Tecnólogo del Ensamble y Mantenimiento de Computadores y Redes

Tecnología de Redes

Ejercicios de máscara de Wildcard


1. Dada la dirección IP 192.168.100.64 255.255.255.224, identifique la máscara de

wildcard que va a filtrar los host 192.168.100.64 a 95.

2. Dada la dirección IP 172.16.8.0 255.255.255.0, identifique la máscara wildcard que

filtrara las subredes 172.16.8.0 – 172.16.15.0 y todos los host de las subredes.

3. Identifique la máscara de wildcard que va a filtrar los host 8 a 15 asumiendo que la

máscara de subred es de 24 bits.

4. Dada la dirección IP 172.16.16.0 255.255.255.0, identifique la máscara wildcard

que filtrara todos los hosts en la red dada.

5. Dada la dirección IP 201.100.165.32 255.255.255.224, identifique las direcciones y

las máscaras wildcard que filtraran los hosts 32 a 40.

6. Dada la dirección IP 10.0.0.0 255.0.0.0, identifique la máscara wildcard que

machea todos los hosts de la red dada.

7. Para especificar todos los hosts de la red clase B 172.16.0.0, ¿qué máscara de

wildcard debería usar?.

8. ¿Cuál es la máscara de wildcard que filtrara el rango 100.1.16.0 – 100.1.31.255 ?.

9. ¿Qué máscara de wildcard deberá utilizarse para filtrar el rango 157.89.64.0 a

157.89.127.255?

10. ¿Qué máscara de wildcard deberá utilizarse para filtrar el rango 157.89.64.0 a

157.89.95.255?

____________________________________________________--

EJERCICIOS ACL

EJERCICIOS DE MASCARAS DE WILDCARD CON ACL’s


NOTA IMPORTANTE:
0 => VERIFICA
1=> IGNORA

 Suponga que empleamos la IP 192.168.1.0 junto con la máscara wildcard


0.0.0.255 para seleccionar direcciones IP. Elige las direcciones IP que correspondan al
rango de acuerdo a la mascara

a) 192.168.1.1
b) 192.168.2.145
c)192.168.1.23
d) 100.168.1.0
e) 192.168.1.145
f) 192.167.1.76

 . Suponga que tenemos la máscara wildcard 0.0.255.255 y la IP 10.1.0.0,


¿qué valores de la siguienta lista se seleccionarán?

a) 10.1.1.1
b) 10.2.1.1
c) 20.1.0.1
d)10.1.255.255
e)10.10.0.1
f) 10.1.20.2
g) 11.1.3.2
h) 100.1.0.0
i) 10.10.1.1
j) 10.3.0.1

 Supongamos ahora una máscara wildcard de la forma 0.0.0.15 asociada con la


IP 192.168.1.48, ¿qué IPs quedarán seleccionadas?

a) 192.168.1.48
b) 192.168.1.79
c) 192.168.1.60
d) 192.168.2.63
e) 192.168.1.63

 Dada la siguiente IP y máscara wildcard:

Decir qué IPs quedará selecionadas de entre las siguientes:


a) 202.20.2.1
b) 202.20.0.0
c) 202.20.22.0

 Seleccione las direcciones de host impares de la red 195.170.93.0/24

R= 195.170.93.1 a 195.170.93.255 (IMPARES)

195 170 93 1

195 170 93 3

... ... ... ..

195 170 93 251

195 170 93 253

195 170 93 255

 Seleccione con una máscara Wildcard las redes de clase B que se encuentran
entre la 150.32.0.0/16 y la 150.63.0.0/16

R=0.63.255.255
_________________________________________________---

EJEMPLOS DE LISTAS DE ACCESO


¿Se acerca la prueba y no tienes idea de que son las listas de acceso?

A través de esta guía rápida de ejercicios podrás entender que son las ACL estandar
y extendidas, sin mucha teoría, mas bien directo a lo que nos interesa, lo práctico.

Comencemos...

Las Listas de Control de Acceso son listas secuenciales de sentencias que permiten
o deniegan direcciones o protocolos como TCP,UDP, ICMP, etc; permitiendo
controlar el tráfico que entra o sale de la red.

Existen distintos tipos de ACLs, destinguiendose principalmente 3

Listas Estandar
Listas Extendidas
Listas Nombradas

Para entender como funcionan, vamos a imaginar que las ACL poseen 3 partes.
CUERPO, EXCLUSIONES Y APLICACION.
CUERPO: Es la parte importante . La que nos interesa que nuestra lista realice.

EXCLUSIONES: Son las direcciones que bloqueamos o permitimos sin intención,


por lo que tenemos que permitirlas o denegarlas nuevamente, según corresponda
al objetivo de nuestra ACL. Las exclusiones siempre van en la parte superior de
nuestra ACL pues el router las lee de arriba hacia abajo, y a la primera
coincidencia, actúa.

APLICACION: Es la sentencia con la que aplicamos la ACL al router

MASCARA WILDCARD

La wildcard, aunque se parece a la máscara de subred, funciona de forma inversa y


se usa para determinar los host a los que someteremos al análisis de nuestra ACL.

Por ejemplo, para la red 192.168.10.0 determinemos la wildcard

DECIMAL BINARIO
RED 192 . 168 . 10 . 0 11000000 . 10101000 . 00001010 . 00000000
MASCARA 255 . 255 . 255 . 0 11111111 . 11111111 . 11111111 . 00000000
WILDCARD 0 . 0 . 0 . 255 00000000 . 00000000 . 00000000 . 11111111

El (0) significa "tomar en cuenta", mientras que el (1) significa "ignorar", por lo
tanto podríamos leer nuestra wildcard como "analiza que coincidan los primeros 24
bits, pero no me importa lo que pase con los ultimos 8"

La wildcard, para usos prácticos, resulta de restar octeto por octeto la mascara de
subred de 255, en otras palabras

WILDCARD = 255 - MASCARA

Por ejemplo para una máscara 255.255.255.252 la máscara wildcard es 0.0.0.3

255.255.255.255
255.255.255.252
---------------
0.0.0.3

Una wilcard 0.0.0.0 revisa un host específico y se suele sustituir por la palabra
HOST en vez de los numeros.

Una wildcard 255.255.255.255 revisa toda la red y se puede sustituir por la palabra
ANY

Las siguientes wildcards nos seran utiles mas adelante

1 - 3 - 7 - 15 - 31 - 63 - 127 - 255

Las siguientes tablas nos seran de utilidad mas adelante

tabla1
tabla2

tabla 3

tabla 3

LISTAS DE ACCESO ESTANDAR

Una ACL estandar es una lista simple que puede controlar el acceso de host,
subredes o redes. Actúa solo sobre IP y tiene el siguiente formato:

ACCESS-LIST [1-99] [permit/deny] [IP ADDRESS] [WILDCARD]

EJEMPLO DE APLICACION:

Permitir el acceso a los host 2 al 10 de la red 192.168.1.0

EXCLUSION: access-list 1 deny 192.168.1.11 0.0.0.0

CUERPO :
access-list 1 permit 192.168.1.2 0.0.0.1
access-list 1 permit 192.168.1.4 0.0.0.3
access-list 1 permit 192.168.1.8 0.0.0.3

APLICACION: ip access-group 1 [in/out]

De acuerdo a nuestra tabla 2, tendriamos que permitir desde 192.168.1.2 con una
wildcard 0.0.0.1 pues 2 en binario tiene 1 solo cero final. Esta wildcard quiere decir
que permite 1 host mas sin contar el propio 192.168.1.2, asi que nos dejaria en
192.168.1.4 que tiene 2 ceros finales, por lo que podemos usar una wilcard 0.0.0.0
de acuerdo a nuestra tabla 2.
Esta ultima wilcard permite 3 host mas aparte del propio 192.168.1.4, es decir nos
dejaría en el 192.168.1.8. El 8 binario termina en 3 ceros, por lo que disponemos
como máximo de una wilcard 7, pero para nuestro caso solo necesitamos bloquear
2 host mas aparte del 192.168.1.8.

Como las wildcard son fijas (1, 3, 7, 15, etc) tenemos que tomar la wildcard 3, que
nos permitiría 3 host sin contar el 192.168.1.8 y los que nos dejaria en el host
192.168.1.11 que tenemos que denegar posteriormente, fuera del cuerpo, es decir
como exclusión, pues no nos interesa permitir en nuestra ACL

EJEMPLO 1:
Permitir solo los host 36 al 48 de la red 192.168.1.0/24

Desarrollo

access-list 16 permit 192.168.1.36 0.0.0.3


access-list 16 permit 192.168.1.40 0.0.0.7
access-list 16 permit 192.168.1.48 0.0.0.0

Explicación:

De acuerdo a la tabla 2, el numero 36 en binario termina en 2 ceros, por lo que


podemos usar una wildcard 0.0.0.3, que permitiria 3 host (37,38,39) mas aparte
del 192.168.1.36 dejandonos en el host 192.168.1.40.
El 40 en binario tiene 3 ceros finales, por lo que podemos usar una wildcard
0.0.0.7, con la que permitiriamos 7 host aparte del 40 (1,2,3,4,5,6,7) dejandonos
en el host 192.168.1.40 que permitimos con una wildcard 0.0.0.0

Luego aplicamos la ACL en el destino en la interface que sea necesario con la


siguiente sintaxis:

ip access-group 16 [in /out]

EJEMPLO 2:

Denegar el acceso desde los host49 al 70 de la red 172.16.0.0/24 Subred 49

access-list 36 permit host 172.16.49.48


access-list 36 permit host 172.16.49.71
access-list 36 deny 172.16.49.48 0.0.0.15
access-list 36 deny 172.16.49.64 0.0.0.7
access-list 36 permit any

EJEMPLO 3:

Permitir a las subredes 77 a 99 de la red 180.10.0.0/23

Desarrollo

Subred 77 : 180.10.154.0
Subred 99 : 180.10.198.0

access-list deny 180.10.152.0 0.0.1.255


access-list permit 180.10.152.0 0.0.7.255
access-list permit 180.10.160.0 0.0.31.255
access-list permit 180.10.192.0 0.0.7.255