Consulta - ACL

[epic]

Hola a todos... no recuerdo mucho sobre las ACL de los router (cisco) ... por ejemplo tengo unas lineas que dicen:

 

logging facility local6

logging 163.250.1.203

access-list 10 permit 163.250.240.171 log

access-list 10 permit 192.168.120.81 log

access-list 10 permit 163.250.1.203 log

access-list 10 permit 163.250.240.63 log

access-list 10 permit 163.250.240.53 log

access-list 10 permit 163.250.240.55 log

access-list 10 permit 163.250.240.65 log

access-list 10 permit 163.250.8.201

snmp-server community xxxxxxx RW

snmp-server community xxxxxxx RO

snmp-server community wwwwwRO 80

 

 

Alguien me podria explicar un poco hacia donde estan permitiendo ??? ya que veo solo una IP por linea.

 

 

Gracias.

[naruto_kaze]

Lo unico q estan haciendo esas acl es permitir ciertas ip's de redes diferentes y algunas guardarlas en un log y no estan haciendo casi nada xq en las acl siempre tiene q ir con un deny para q funcionen bien. Tendrias que ver más de la configuración del router como por ejemplo un show access-list para que te muestre completamente las acl que tiene ese router y ver si estas haciendo un ruteo hacia las ip's q tienes no se x ejemplo con frame-relay,rip, ospf, etc.

Y para saber que interface tienen las redes que estan conectadas haz un show ip interface brief con eso te muestra todas las interfaces y sus respectivas ip's. Y comprueba si funcionan las acl haciendo un ping o un trace route a cada ip para saber por donde estan saliendo y las metricas y protocolos de ruteo que se estan usando.

Espero haber podido ayudarte.

[epic]

No puedo hacer mucho ya que el router no es nuestro y no tenemos acceso a el, pero nos enviaron el sh run de este... y queria ver si lo podia pasar por el firewall y asi eliminar ese router ya que subieron su costo de mantenciom.

 

#sh run

Building configuration...

 

Current configuration : 3572 bytes

!

! Last configuration change at 15:09:26 UTC Tue Feb 28 2012 by hector61

! NVRAM config last updated at 15:09:26 UTC Tue Feb 28 2012 by hector61

!

version 12.4

service timestamps debug datetime localtime

service timestamps log datetime localtime

service password-encryption

!

hostname EMPRESA

!

boot-start-marker

boot-end-marker

!

logging buffered 4096 debugging

enable secret 5 $1$8ieo$n5iK354b7Azi1SLpNeRil/

!

aaa new-model

!

!

!

aaa session-id common

ip cef

!

!

!

!

ip domain name rbc.cl

!

!

ip ssh version 2

!

!

interface FastEthernet0/0

description RED EMPRESA

ip address 192.168.1.119 255.255.255.0

ip accounting output-packets

ip nat inside

duplex auto

speed auto

!

interface FastEthernet0/1

description ENLACE DOS

ip address 192.168.120.86 255.255.255.248

ip accounting output-packets

ip nat outside

speed 10

full-duplex

!

ip forward-protocol nd

ip route 163.250.1.0 255.255.255.0 192.168.120.81

ip route 163.250.8.0 255.255.255.0 192.168.120.81

ip route 163.250.9.0 255.255.255.0 192.168.120.81

ip route 163.250.20.0 255.255.255.0 192.168.120.81

ip route 163.250.34.0 255.255.255.0 192.168.120.81

ip route 163.250.36.0 255.255.255.0 192.168.120.81

ip route 163.250.37.0 255.255.255.0 192.168.120.81

ip route 163.250.99.0 255.255.255.0 192.168.120.81

ip route 163.250.240.0 255.255.255.0 192.168.120.81

ip route 163.250.250.0 255.255.255.0 192.168.120.81

ip route 163.250.254.0 255.255.255.0 192.168.120.81

ip route 168.231.1.0 255.255.255.0 192.168.120.81

ip route 168.231.100.0 255.255.255.0 192.168.120.81

ip route 192.168.1.0 255.255.255.0 192.168.4.254

ip route 192.168.3.0 255.255.255.0 192.168.4.254

ip route 192.168.131.0 255.255.255.0 192.168.120.81

!

ip http server

no ip http secure-server

ip nat inside source static 192.168.1.2 192.168.141.22

ip nat inside source static 192.168.1.36 192.168.141.60

ip nat inside source static 192.168.3.110 192.168.141.110

ip nat inside source static 192.168.1.191 192.168.141.123

ip nat inside source static 192.168.4.67 192.168.141.143

ip nat inside source static 192.168.1.158 192.168.141.158

ip nat inside source static 192.168.1.194 192.168.141.227

!

logging facility local6

logging 163.250.1.203

access-list 10 permit 163.250.240.171 log

access-list 10 permit 192.168.120.81 log

access-list 10 permit 163.250.1.203 log

access-list 10 permit 163.250.240.63 log

access-list 10 permit 163.250.240.53 log

access-list 10 permit 163.250.240.55 log

access-list 10 permit 163.250.240.65 log

access-list 80 permit 163.250.8.201

snmp-server community XXXXXXX RW

snmp-server community XXXXXXX RO

snmp-server community WWWWWWWW RO 80

!

control-plane

!

banner motd ^C

____________________________________________

 

R-Empresa

 

FECHA DE EXPIRACION DE PASSWORD: 30 ABRIL 2012

 

TELECOMUNICACIONES REDES

 

____________________________________________

^C

!

line con 0

password 7 xxxx

line aux 0

password 7 xxxx

line vty 0 4

access-class 10 in

password 7 xxxxxx

transport input ssh

line vty 5 15

access-class 10 in

password 7 xxxxxxxxxx

transport input ssh

!

scheduler allocate 20000 1000

ntp authentication-key 7216 md5 1234567890

ntp authenticate

ntp trusted-key 7216

ntp clock-period 17208710

ntp update-calendar

ntp server 163.250.99.11 key 7216

ntp server 163.250.99.10 key 7216

end

Edited April 9, 2012 by epic

[naruto_kaze]

Si quieres pasar tu red x un firewall lo puedes hacer. Solamente en una interface conectas el enlace wan y en la otra sacas el lan y le dices q todo lo q pasa x la lan lo saque x la interface wan con un ip nat inside en la lan y en la wan ip nat outside. Lo otro esas acl estan apuntando a otras redes que conocen la interface wan del router que tienes instalado.

Primero tienes q saber si esas redes son de sistemas o algo q utilizan dentro de tu empresa o es de una sucursal o algo asi. O bien puede ser un router reciclado q te instalaron.

Segundo cuantas ip's tienes si es enlace dedicado ya que en la configuración estan saliendo por otra ip publica diferente de la tuya.

Tercero que firewall vas a utilizar si es cisco u otra marca.

 

Espero haberte ayudado

[epic]

es un enlace aparte, es solo para los servicios que presta esta empresa... voy a probar ingresando esos datos y dejando las acl fuera a ver que sucede.