lunes, 11 de noviembre de 2013

ACL entre hosts




Un ACL básica más que puede servir de patrón para hacer otras. Este sería la típico configuración entre dos PC o más.




Tenemos un servidor en una red al que solo queremos que pueda llegar a un PC.




Queremos que un PC (110.1.110.55) puedan llegar al servidor (110.1.115.10) de una red aislada, pero que el servidor no pueda acceder a ellos.

Configuramos la Vlan

interface Vlan 115
 description RED_SEGURA
 ip address 110.11.115.1 255.255.255.0


Configuramos la ACL para que solo pueda llagar un PC (110.1.110.55) al servidor (110.1.115.10 y el servidor solo pueda ver un PC

ip access-list extended Permit_RED_SEGURA_entrada
 remark PC_con_acceso_RED_SEGURA
 permit icmp host 110.1.110.55 host 110.1.115.10
 permit ip host 110.11.110.55 host 110.1.115.10
 permit tcp host 110.11.110.55 host 110.1.115.10
 permit udp host 110.11.110.55 host 110.1.115.10
 deny   ip any any
!

Modificamos la configuración de la Vlan

interface Vlan 115
 description RED_SEGURA
 ip address 110.1.115.1 255.255.255.0
 ip access-group Permit_RED_SEGURA_entrada out



Vamos un poco más, ahora queremos que 2 PCs (110.1.110.55 y 110.1.111.73) puedan llegar al servidor (110.1.115.10, pero el servidor solo pueda llegar a uno de ellos:


La flechas indican la dirección de los permisos.



Añadimos una ACL nueva con las IP de los 2 PC que tendrán permiso para llegar al servidor


ip access-list extended Permit_RED_SEGURA_salida
 remark PC1_con_acceso_RED_SEGURA
 permit icmp host 110.1.115.10 host 110.1.111.73
 permit ip host 110.1.115.10 host 110.1.111.73
 permit tcp host 110.1.115.10 host 110.1.111.73
 permit udp host 110.1.115.10 host 110.1.111.73
 remark PC2_con_acceso_RED_SEGURA
 permit icmp host 110.1.115.10 host 110.1.110.55
 permit ip host 110.1.115.10 host 110.1.110.55
 permit tcp host 110.1.115.10 host 110.1.110.55
 permit udp host 110.1.115.10 host 110.1.110.55
 deny   ip any any


Modificamos la configuración de VLAN 115

interface Vlan 115
 description RED_SEGURA
 ip address 110.1.115.1 255.255.255.0
 ip access-group Permit_RED_SEGURA_entrada out
 ip access-group Permit_RED_SEGURA_salida in

Ya lo tenemos, con este patrón podemos añadir más PC para que lleguen al servidor, si que este pueda acceder a ellos.

Es importante configurar la Vlan a nivel 2 por cada Switch por el que deba comunicarse nuestro hosts contra el que tengamos de gateway de Vlans (nuestra puerta de enlace).




Gon

No hay comentarios: