Está en la página 1de 25

Listas de Control de

Acceso (ACL)
Universidad Politcnica
Salesiana

ACL estndar

Configuracin de ACL
estndar
Router(config)#access-list[1-99][permit|deny]
[direccin de origen][mascara comodn]
1-99Identifica el rango y la lista.
Permit|denyindica si esta entrada permitir o bloquear
el trfico a partir de la direccin especificada.
Direccin de origen identifica la direccin IP de origen.
Mascara comodn o wildcardidentifica los bits del campo
de la direccin que sern comprobados. Los 0 indican las
posiciones que deben coincidir, y los 1 las que no
importan.

Asociacin de la lista a una interfaz


Router(config-if)#ip
accessgroup[n de lista de acceso][in|out]
Donde:
Nmero de lista de accesoindica el
nmero de lista de acceso que ser
aplicada a esa interfaz.
In|outselecciona si la lista de acceso
se aplicar como filtro de entrada o de
salida.

Ejemplo de una ACL estndar


denegando una red
Router#configure terminal
Router(config)#access-list 10 deny
192.168.1.0 0.0.0.0
Router(config)#access-list 10 permit
any
Router(config)#interface serial 0
Router(config-if)#ip access-group 10 in

ACL Extendida

Configuracin de una ACL IP


extendida

Router(config)#access-list[100-199] [permit|deny]
[protocol] [direccin de origen] [mascara
comodn] [direccin de destino] [mascara de
destino] [puerto]
100-199identifica

el

rango

nmero

de

lista

Protocolo: como por ejemplo IP, TCP, UDP, ICMP


Direccin origen y destino: identifican direcciones IP
de origen y destino.
Mascara wildcard origen y mascara destino
Puertoopcional) puede ser por ejemplo: lt (menor
que), gt (mayor que), eq (igual a), o neq (distinto que)
y un nmero de puerto de protocolo correspondiente.

Configuracin de una ACL IP


extendida
Algunos de los nmeros de puertos
ms conocidos:
20 Datos del protocolo FTP
21 FTP
23 Telnet
25 SMTP
69 TFTP
53 DNS

Asociacin de la lista a una interfaz


Router(config-if)#ip accessgroup[n de lista de acceso][in|
out

Ejemplo de una ACL Extendida


denegando un host hacia el puerto
80 de una red
Router(config)#access-list 120 deny tcp
host 204.204.10.1 any eq 80
Router(config)#access-list 120 permit ip any
any
Router(config)#interface serial 1
Router(config-if)#ip access-group 120 in

Eliminar las listas de acceso


Desde el modo interfaz donde se
aplico la lista:
Router(config-if)#no ip accessgroup[N de lista de acceso]
Desde el modo global elimine la ACL
Router(config)#no access-list[N
de lista de acceso]

Redes Pblicas Redes


Privadas
Universidad Politcnica
Salesiana

Redes Pblicas Redes


Privadas

Redes Pblicas Redes


Privadas

Redes Pblicas Redes


Privadas

NAT y PAT
Universidad Politcnica
Salesiana

NAT
NAT(Network
Address
Translation-Traduccin
de
Direccin de Red)
Es
un
mecanismo
utilizado
porencaminadoresIP
para
intercambiar paquetes entre dos
redes
que
se
asignan
mutuamentedireccionesincompatibl
es.

NAT Esttico
ip nat inside source static 10.0.0.2 200.0.0.1
interface fastethernet 0/0
ip nat inside
interface serial 2/0
ip nat outside
show ip nat translations

PAT (NAT DINMICO)


La forma ms utilizada de NAT
proviene del NAT dinmico, ya que
toma
mltiples
direcciones
IP
privadas y las traduce a una nica
direccin
IP
pblica
utilizando
diferentes puertos. Esto se conoce
tambin como PAT (Port Address
Translation), NAT de nica direccin
, NAT multiplexado a nivel de puerto
o sobrecarga (overload).

PAT

Configuracin PAT
1. Primero deberemos definir una lista de acceso
IP estndar que permita las direcciones locales
internas que se deben traducir:
Router(config)# access-list 5 permit
172.16.0.0 0.0.0.255
2. Establecer la traduccin dinmica de origen,
especificando la lista de acceso definida en el
paso anterior.
Router(config)# ip nat inside source list 5
interface serial0/0 overload
nota: la palabra overload habilita PAT

Configuracin PAT
3. Especificar la direccin global como
un conjunto que se usar para la
sobrecarga.
Router(config)# ip nat pool 1
179.9.8.20
netmask
255.255.255.240
o
Router(config)# ip nat pool xxx
200.0.0.3
200.0.0.6
netmask
255.255.255.248

Configuracin PAT
4. Establecer la traduccin de sobrecarga:
Router(config)# ip nat inside source list 5 pool xxx
overload
5. Especificar la interfaz interna y marcarla como conectada al
interior.
Router(config)# interface e0
Router(config-if)# ip nat inside
Router(config-if)# exit
6. Especificar la interfaz externa y marcarla como conectada al
exterior.
Router(config)# interface s0
Router(config-if)# ip nat outside
Router(config-if)# exit

PAT Dinmico (Resumen)


(rango privado) access-list 5 permit
172.16.0.0 0.0.0.255
(rango publico) ip nat pool id_pool
200.0.0.3
200.0.0.6
netmask
255.255.255.248
(mapeo) ip nat inside source list 5
pool nombre_pool overload