LISTAS DE ACCESO CON SESIONES TCP ESTABLECIDAS
Esta figura muestra que se permite el tráfico TCP procedente de la LAN y destinado a internet(ISP), mientras que se rechaza el tráfico TCP
procedente de internet y destinado a la red LAN.
El objetivo de la ACL en este ejemplo es el siguiente:
Permitir a los hosts en la red LAN iniciar y establecer una sesión TCP con el servidor web.
No permitir a los hosts en de Internet iniciar y establecer una sesión TCP destinada a los hosts de la red LAN.
Configuración de ROUTER LOCAL
interface FastEthernet0/0
ip address
192.168.1.1 255.255.255.0
duplex
auto
speed auto
!
interface
Serial0/0/0
ip address
10.0.0.1 255.255.255.252
clock rate
2000000
!
interface
Serial0/0/1
no ip
address
clock rate
2000000
shutdown
!
ip route 0.0.0.0
0.0.0.0 10.0.0.2
interface
FastEthernet0/0
ip address 200.48.200.1 255.255.255.248
duplex auto
speed auto
!
interface Serial0/0/0
ip address 10.0.0.2 255.255.255.252
!
ip classless
ip route 192.168.1.0 255.255.255.0 10.0.0.1
ip address 200.48.200.1 255.255.255.248
duplex auto
speed auto
!
interface Serial0/0/0
ip address 10.0.0.2 255.255.255.252
!
ip classless
ip route 192.168.1.0 255.255.255.0 10.0.0.1
Antes de aplicar la ACL nos aseguramos que tengamos acceso al servidor WEB desde la LAN
Como nuestra aplicación esta funcionando correctamente procedemos a con figurar el ACL que habíamos prometido
interface
Serial0/0/0
ip address 10.0.0.1 255.255.255.252
ip access-group 100 in
clock rate 2000000
access-list 100 permit tcp any any gt 1023 established
ip address 10.0.0.1 255.255.255.252
ip access-group 100 in
clock rate 2000000
access-list 100 permit tcp any any gt 1023 established
Nota: established solo funciona con el protocolo TCP
Después de aplicar el ACL desde el servidor web no podemos establecer una conexión tcp con ningún host de la LAN
SERVER>PING
192.168.1.10
Pinging 192.168.1.10 with 32 bytes of data:
Reply from 10.0.0.1: Destination host unreachable.
Reply from 10.0.0.1: Destination host unreachable.
Reply from 10.0.0.1: Destination host unreachable.
Reply from 10.0.0.1: Destination host unreachable.
Ping statistics for 192.168.1.10:
Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),
Pinging 192.168.1.10 with 32 bytes of data:
Reply from 10.0.0.1: Destination host unreachable.
Reply from 10.0.0.1: Destination host unreachable.
Reply from 10.0.0.1: Destination host unreachable.
Reply from 10.0.0.1: Destination host unreachable.
Ping statistics for 192.168.1.10:
Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),
Si nos dirigimos a las maquinas internas la cosa cambia, como podemos verificar la conexión es exitosa desde los HOST de la red LAN hacia el servidor WEB.
Esta configuración permite que un datagrama se transfiera por la interfaz Serial0/0/0 de entrada a ROUTER CLIENTE cuando el datagrama tenga:
definidos los bits de reconocimiento (ACK) o restablecimiento (RST) (indicando una sesión TCP establecida).
Un valor de puerto de destino superior a 1023
Dado que la mayoría de puertos conocidos para los servicios IP usan valores menores que 1023, ACL 102 deniega cualquier datagrama que tenga un puerto de destino inferior a 1023, o que no tenga definido ningún bit ACK/RST. Por lo tanto, cuando un host desde internet inicia una conexión TCP mediante el envío del primer paquete TCP (sin el bit sincronización/inicio de paquete (SYN/RST) definido) para un número de puerto inferior a 1023, se rechaza la conexión y se produce un error en la sesión TCP. Las sesiones TCP iniciadas desde la red LAN y destinadas hacia internet se permiten porque tienen definido el bit ACK/RST para la devolución de paquetes y usan valores de puerto mayores que 1023.
Si desea conocer mas sobre los numeros de puertos puede visitar https://www.ietf.org/rfc/rfc1700.txt
0 comentarios :
Publicar un comentario