Conceptos y protocolos de enrutamiento: 2.1 Enrutamiento estático
Práctica final acl
1. Práctica Final ACL
El fichero ejercicioFINAL.pkt representa la red de tu organización. Debes configurar todas las direcciones IP y tablas
de encaminamiento de forma que, en principio, todas las máquinas puedan comunicarse con todas.
A continuación vamos a comenzar a asegurar las comunicaciones restringiendo ciertas conexiones que no deben
estar permitidas. Recuerda que nuestros ACL siempre serán restrictivos.
1. Las máquinas de la red local (192.168.1.0 y 192.168.2.0) pueden acceder exclusivamente a los siguientes servicios
de Internet: http, dns, tftp.
2. Las máquinas de la red 192.168.1.0 no pueden acceder a la red 192.168.2.0.
3. Los servidores de la DMZ serán accesibles desde Internet. El servidor web también será accesible desde la red
local. El servidor tftp sólo desde la máquina Admin.
Además del fichero pkt funcionando debes entregar una memoria que detalle los ACL's que se han usado para
resolver cada apartado, así como la interfaz del router a la que se ha asignado cada ACL (indicando si se aplica al
tráfico de entrada o de salida), justificando esta decisión.
Las máquinas de la red 192.168.1.0 no pueden acceder a la red 192.168.2.0.
En el router 2 de salida por la interfaz de la derecha(si quieres que el admin tenga acceso a algún recurso de la red
1.0 tienes que ponerlo por encima de estas reglas):
Router(config)#access-list 1 deny 192.168.1.0 0.0.0.255
Router(config)#access-list 1 permit any
Router(config)#interface FastEthernet 0/0
Router(config-if)#ip access-group 1 out
Las máquinas de la red local (192.168.1.0 y 192.168.2.0) pueden acceder exclusivamente a los siguientes servicios
de Internet: http, dns, tftp. Y permitimos el trafico de salida de la DMZ(establecido).
En el router 1 de salida por la interfaz de la izquierda hacia internet:
Permitimos el trafico WEB/DNS/TFTP de salida.
#WEB
Router(config)#access-list 101 permit tcp 192.168.1.0 0.0.0.255 any eq 80
Router(config)#access-list 101 permit tcp 192.168.2.0 0.0.0.255 any eq 80
2. #DNS
Router(config)#access-list 101 permit tcp 192.168.1.0 0.0.0.255 any eq 53
Router(config)#access-list 101 permit tcp 192.168.2.0 0.0.0.255 any eq 53
Router(config)#access-list 101 permit udp 192.168.1.0 0.0.0.255 any eq 53
Router(config)#access-list 101 permit udp 192.168.2.0 0.0.0.255 any eq 53
#TFTP
Router(config)#access-list 101 permit udp 192.168.1.0 0.0.0.255 any eq 69
Router(config)#access-list 101 permit udp 192.168.2.0 0.0.0.255 any eq 69
En la misma access-list permitimos tambien el trafico establecido con los servidores de nuestra DMZ hacia internet.
Router(config)#access-list 101 permit tcp 10.0.0.2 0.255.255.255 eq 80 any gt 1024 established
Router(config)#access-list 101 permit udp 10.0.0.3 0.255.255.255 eq 69 any gt 1024
Los servidores de la DMZ serán accesibles desde Internet. Y permitir el trafico establecido con las redes internas.
#Desde inet a la DMZ
Router(config)#access-list 102 permit tcp any 10.0.0.2 0.0.0.0 eq 80
Router(config)#access-list 102 permit udp any 10.0.0.3 0.0.0.0 eq 69
#WEB
Router(config)#access-list 102 permit tcp any eq 80 192.168.1.0 0.0.0.255 established
Router(config)#access-list 102 permit tcp any eq 80 192.168.2.0 0.0.0.255 established
#DNS
Router(config)#access-list 102 permit udp any eq 53 192.168.1.0 0.0.0.255
Router(config)#access-list 102 permit udp any eq 53 192.168.2.0 0.0.0.255
#TFTP
Router(config)#access-list 102 permit udp any eq 69 192.168.1.0 0.0.0.255
Router(config)#access-list 102 permit udp any eq 69 192.168.2.0 0.0.0.255
Router(config)#interface FastEthernet 1/0
Router(config-if)#ip access-group 102 in
El servidor web también será accesible desde la red local. El servidor tftp sólo desde la máquina Admin.
Router(config)#access-list 103 permit tcp any 10.0.0.2 0.0.0.0 eq 80
Router(config)#access-list 103 permit udp 192.168.2.2 0.0.0.0 10.0.0.3 0.0.0.0 eq 69
#Denegamos las dos redes para luego poder añadir una que permita desde cualquier red(internet).
Router(config)#access-list 103 deny udp 192.168.1.0 0.0.0.255 10.0.0.3 0.0.0.0 eq 69
Router(config)#access-list 103 deny udp 192.168.2.0 0.0.0.255 10.0.0.3 0.0.0.0 eq 69
Router(config)#access-list 103 permit udp any 10.0.0.3 0.0.0.0 eq 69
Router(config)#interface FastEthernet 6/0
Router(config-if)#ip access-group 103 out
Permitimos que desde la DMZ solo pueda salir el WEB establecido y el TFTP para evitar problemas.
Router(config)#access-list 104 permit tcp 10.0.0.2 0.0.0.0 eq 80 any established
Router(config)#access-list 104 permit udp 10.0.0.3 0.0.0.0 eq 69 any gt 1024
Router(config)#interface FastEthernet 6/0
Router(config-if)#ip access-group 104 in