23/05/2011, 19:03
| |||
| |||
 Listas de acceso extendidas problema -------------------------------------------------------------------------------- Hola. Tengo 2 routers interconectados. Cada router tiene 2 host. Quiero que los host del R1 puedan hacer ping en los host del R2 pero que los host del R2 no puedan hacer ping en los del R1. Sé la sintaxis de las listas de acceso extendidas pero no sé bien cómo acomodarlas ya que no hace la combinación que quiero porque o se bloquea todo el trafico en ambas direcciones o se abre todo. |
|
24/05/2011, 02:31
| |||
| |||
| Respuesta: Listas de acceso extendidas problema Desconozco la sintaxis de tus routers... Pero lo que quieres hacer es simple en cortafuegso en general. En primer lugar permite el tráfico ICMP que comience en la interfaz 1 y salga por la 2 (en conexiones NEW y ESTABLISHED). Permite el tráfico entre al 2 y la 1 para conexiones tipo "ESTABLISHED" (no iniciadas desde la interfaz 2))... Es decir: Tienes dos tipos de conexiones ICMP... ECHO y REPLY (NEW y ESTABLISHED)... Permite los ECHO entre la red 1 y la 2 y solo los REPLY entre la 2 y la 1. Con eso debería ser suficiente... |
|
24/05/2011, 08:11
| |||
| |||
| Respuesta: Listas de acceso extendidas problema segun yo seria algo asi access-list 101 permit icmp 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255 le estas diciendo que quieres que todo el trafico icmp de la red 10.1.1.0 entre a la red 172.16.1.0, con esta otra access-list 101 deny icmp 172.16.1.0 0.0.0.255 10.1.1.0 0.0.0.255 cancelas el acceso icm de la 172 a la 10. espero esto te ayude |
|
25/05/2011, 03:34
| |||
| |||
| Respuesta: Listas de acceso extendidas problema Cita: Quizás en un cortafuegos "simple", esto pueda ser así... Pero tal y como yo lo leo, en el momento en que apliques la segunda regla, dejaras de tener acceso ICMP desde la primera red a la segunda...segun yo seria algo asi access-list 101 permit icmp 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255 le estas diciendo que quieres que todo el trafico icmp de la red 10.1.1.0 entre a la red 172.16.1.0, con esta otra access-list 101 deny icmp 172.16.1.0 0.0.0.255 10.1.1.0 0.0.0.255 cancelas el acceso icm de la 172 a la 10. espero esto te ayude Si deniegas TODO el trafico ICMP, deniegas el REPLY (no solo el ECHO)... Es decir, deniegas las respuestas a ping desde la segunda red a la primera, lo que lleva a una denegacion efectiva del ping desde la primera a la segunda red. Entiendo que precisamente eso es lo que le estaba pasando... Si su cortafuegos (como debería ser) "entiende" el estado de los paquetes, lo que debe es denegar paquetes por estado, no por protocolo... Permitir los NEW y los ESTABLISHED entre red 1 y red 2 (ECHO y REPLY) y denegar los NEW, permitiendo los ESTABLISHED entre la red 2 y la 1 (denegar EL ECHO y permitir el REPLY). ¿No? |
| Etiquetas: |
Este tema le ha gustado a 1 personas 
