Foros del Web » Administración de Sistemas » Seguridad y redes »

Listas de acceso extendidas problema

Estas en el tema de Listas de acceso extendidas problema en el foro de Seguridad y redes en Foros del Web. -------------------------------------------------------------------------------- Hola. Tengo 2 routers interconectados. Cada router tiene 2 host. Quiero que los host del R1 puedan hacer ping en los host del R2 ...
  #1 (permalink)  
Antiguo 23/05/2011, 19:03
 
Fecha de Ingreso: noviembre-2007
Mensajes: 12
Antigüedad: 16 años, 4 meses
Puntos: 0
Información Listas de acceso extendidas problema

--------------------------------------------------------------------------------
Hola. Tengo 2 routers interconectados. Cada router tiene 2 host. Quiero que los host del R1 puedan hacer ping en los host del R2 pero que los host del R2 no puedan hacer ping en los del R1. Sé la sintaxis de las listas de acceso extendidas pero no sé bien cómo acomodarlas ya que no hace la combinación que quiero porque o se bloquea todo el trafico en ambas direcciones o se abre todo.
  #2 (permalink)  
Antiguo 24/05/2011, 02:31
 
Fecha de Ingreso: febrero-2011
Mensajes: 581
Antigüedad: 13 años, 1 mes
Puntos: 81
Respuesta: Listas de acceso extendidas problema

Desconozco la sintaxis de tus routers...

Pero lo que quieres hacer es simple en cortafuegso en general.

En primer lugar permite el tráfico ICMP que comience en la interfaz 1 y salga por la 2 (en conexiones NEW y ESTABLISHED). Permite el tráfico entre al 2 y la 1 para conexiones tipo "ESTABLISHED" (no iniciadas desde la interfaz 2))...

Es decir: Tienes dos tipos de conexiones ICMP... ECHO y REPLY (NEW y ESTABLISHED)... Permite los ECHO entre la red 1 y la 2 y solo los REPLY entre la 2 y la 1.

Con eso debería ser suficiente...
  #3 (permalink)  
Antiguo 24/05/2011, 08:11
 
Fecha de Ingreso: mayo-2011
Ubicación: Aguascalientes, México
Mensajes: 32
Antigüedad: 12 años, 10 meses
Puntos: 5
Respuesta: Listas de acceso extendidas problema

segun yo seria algo asi

access-list 101 permit icmp 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255

le estas diciendo que quieres que todo el trafico icmp de la red 10.1.1.0 entre a la red 172.16.1.0, con esta otra

access-list 101 deny icmp 172.16.1.0 0.0.0.255 10.1.1.0 0.0.0.255

cancelas el acceso icm de la 172 a la 10.

espero esto te ayude
  #4 (permalink)  
Antiguo 25/05/2011, 03:34
 
Fecha de Ingreso: febrero-2011
Mensajes: 581
Antigüedad: 13 años, 1 mes
Puntos: 81
Respuesta: Listas de acceso extendidas problema

Cita:
segun yo seria algo asi

access-list 101 permit icmp 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255

le estas diciendo que quieres que todo el trafico icmp de la red 10.1.1.0 entre a la red 172.16.1.0, con esta otra

access-list 101 deny icmp 172.16.1.0 0.0.0.255 10.1.1.0 0.0.0.255

cancelas el acceso icm de la 172 a la 10.

espero esto te ayude
Quizás en un cortafuegos "simple", esto pueda ser así... Pero tal y como yo lo leo, en el momento en que apliques la segunda regla, dejaras de tener acceso ICMP desde la primera red a la segunda...

Si deniegas TODO el trafico ICMP, deniegas el REPLY (no solo el ECHO)... Es decir, deniegas las respuestas a ping desde la segunda red a la primera, lo que lleva a una denegacion efectiva del ping desde la primera a la segunda red.

Entiendo que precisamente eso es lo que le estaba pasando... Si su cortafuegos (como debería ser) "entiende" el estado de los paquetes, lo que debe es denegar paquetes por estado, no por protocolo... Permitir los NEW y los ESTABLISHED entre red 1 y red 2 (ECHO y REPLY) y denegar los NEW, permitiendo los ESTABLISHED entre la red 2 y la 1 (denegar EL ECHO y permitir el REPLY).

¿No?

Etiquetas: listas
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta

SíEste tema le ha gustado a 1 personas




La zona horaria es GMT -6. Ahora son las 05:58.