Anlex
Páginas: 8 (1935 palabras)
Publicado: 17 de diciembre de 2010
Práctica 5: Listas de acceso estándar y extendidas
Material necesario: - maqueta de routers, cables de red y consola y ordenadores de consola. Introducción: Las listas de acceso (ACLs Access Lists) son filtros que utilizan una numeración para identificarse: 1-99 son ACLs estándar 100-199 son ACLs extendidas. Las ACLs estándar tienen la configuración siguiente:
Router(config)# access-list nºpermit|deny origen [wild-mask]
y se aplican a los interfaces con: Router (config-if)# ip access-group nº in|out siendo in la indicación del tráfico a filtrar que ENTRA por la interfaz del router y out la indicación para filtrar el tráfico que SALE por la interfaz del router. Además la wild-mask, indica con 0 el bit a evaluar y con 1 indica que el bit correspondiente se ignora. Por ejemplo, siquiero indicar un único host 192.13.13.1 especifico: 192.13.13.1 con wild-mask 0.0.0.0 y si quiero especificar toda la red clase C correspondiente lo indico con 192.13.13.0 y wild-mask 0.0.0.255. Las ACLs estándar solo pueden filtrar el tráfico por origen nunca por destino.
Las ACLs extendidas tienen la configuración siguiente, donde dependiendo del protocolo especificado (IP, ICMP, TCP, UDP, ...)tendremos opciones de configuración diferente, siempre acorde con el protocolo, es decir con TCP podré utiliza operación de puertos pero con IP no. La sintaxis de las ACLs extendidas es: Router (config)# access-list nº permit|deny protocolo origen [wild-mask] [operación] [puerto origen] destino [wild-mask] [operación] [puerto destino] [established] La opción de [established] indica que sólopasarán paquetes TCP con los flags ACK o RST activados, es decir, que no permite pasar ningún comienzo de conexión con el flag SYN=1 ACK=0, de inicio de sesión TCP. Podemos forzar así que el establecimiento de la conexión se realice en el sentido contrario donde está establecida la lista de acceso. 1
Como operación se suele usar eq que significa igual (equal) Las ACLs se aplican a los interfaces conla siguiente sintaxis, siendo “out” la opción por defecto: Router (config-if)# ip access-group nº in|out
Importante: • Es conveniente que desactives el cortafuegos de tu ordenador antes de empezar esta práctica: service iptables stop • Recuerda que solo se pueden definir 2 ACLs por cada interfaz. Una de entrada y otra de salida
2
Parte 1. Listas de Acceso Estandar
Paso 1.- Configurar lamaqueta con RIP (u otro protocolo de routing). Una vez hecho esto se comprobará que los pings funcionan. Es decir que hay conectividad entre todos los routers y Pcs. Hacer esta vez pruebas de conectividad entre PCs.
Nota importante: Para esta práctica será necesaria la configuración de los host. Configuración de la IP del host:
ifconfig eth0 inet dirección_IP netmask máscara
Configuracióndel router por defecto del host:
route add –net 0.0.0.0 netmask 0.0.0.0 gw dirección_IP
Comprobación de si lo hemos hecho bien:
ifconfig eth0
route –n
Si comprobamos que la información del router de acceso es incorrecta, podemos borrar una entrada con:
route del –net 0.0.0.0 netmask 0.0.0.0 gw dirección_IP
Para hacer esto se seguirán los siguientes pasos.
1.1 Verificación de lasconexiones y encendido de los equipos En primer lugar los alumnos deberán interconectar los equipos según la maqueta general. Una vez comprobadas las conexiones procedemos a encender los hosts y arrancarlos con el sistema operativo ‘linux redes’.
3
Una vez ha arrancado el sistema operativo entraremos con el usuario root y la password utilizada en las sesiones anteriores y pondremos enmarcha el programa minicom mediante el comando ‘minicom –s’, pulsando a continuación la tecla escape. Con el programa minicom ya en marcha encenderemos los routers, debiendo ver aparecer por consola los mensajes de arranque. Si no aparece nada deberemos comprobar los cables, los equipos y la configuración del minicom, que debe ser:
• Velocidad 9600 bits/s • 8 bits de datos • Un bit de parada...
Material necesario: - maqueta de routers, cables de red y consola y ordenadores de consola. Introducción: Las listas de acceso (ACLs Access Lists) son filtros que utilizan una numeración para identificarse: 1-99 son ACLs estándar 100-199 son ACLs extendidas. Las ACLs estándar tienen la configuración siguiente:
Router(config)# access-list nºpermit|deny origen [wild-mask]
y se aplican a los interfaces con: Router (config-if)# ip access-group nº in|out siendo in la indicación del tráfico a filtrar que ENTRA por la interfaz del router y out la indicación para filtrar el tráfico que SALE por la interfaz del router. Además la wild-mask, indica con 0 el bit a evaluar y con 1 indica que el bit correspondiente se ignora. Por ejemplo, siquiero indicar un único host 192.13.13.1 especifico: 192.13.13.1 con wild-mask 0.0.0.0 y si quiero especificar toda la red clase C correspondiente lo indico con 192.13.13.0 y wild-mask 0.0.0.255. Las ACLs estándar solo pueden filtrar el tráfico por origen nunca por destino.
Las ACLs extendidas tienen la configuración siguiente, donde dependiendo del protocolo especificado (IP, ICMP, TCP, UDP, ...)tendremos opciones de configuración diferente, siempre acorde con el protocolo, es decir con TCP podré utiliza operación de puertos pero con IP no. La sintaxis de las ACLs extendidas es: Router (config)# access-list nº permit|deny protocolo origen [wild-mask] [operación] [puerto origen] destino [wild-mask] [operación] [puerto destino] [established] La opción de [established] indica que sólopasarán paquetes TCP con los flags ACK o RST activados, es decir, que no permite pasar ningún comienzo de conexión con el flag SYN=1 ACK=0, de inicio de sesión TCP. Podemos forzar así que el establecimiento de la conexión se realice en el sentido contrario donde está establecida la lista de acceso. 1
Como operación se suele usar eq que significa igual (equal) Las ACLs se aplican a los interfaces conla siguiente sintaxis, siendo “out” la opción por defecto: Router (config-if)# ip access-group nº in|out
Importante: • Es conveniente que desactives el cortafuegos de tu ordenador antes de empezar esta práctica: service iptables stop • Recuerda que solo se pueden definir 2 ACLs por cada interfaz. Una de entrada y otra de salida
2
Parte 1. Listas de Acceso Estandar
Paso 1.- Configurar lamaqueta con RIP (u otro protocolo de routing). Una vez hecho esto se comprobará que los pings funcionan. Es decir que hay conectividad entre todos los routers y Pcs. Hacer esta vez pruebas de conectividad entre PCs.
Nota importante: Para esta práctica será necesaria la configuración de los host. Configuración de la IP del host:
ifconfig eth0 inet dirección_IP netmask máscara
Configuracióndel router por defecto del host:
route add –net 0.0.0.0 netmask 0.0.0.0 gw dirección_IP
Comprobación de si lo hemos hecho bien:
ifconfig eth0
route –n
Si comprobamos que la información del router de acceso es incorrecta, podemos borrar una entrada con:
route del –net 0.0.0.0 netmask 0.0.0.0 gw dirección_IP
Para hacer esto se seguirán los siguientes pasos.
1.1 Verificación de lasconexiones y encendido de los equipos En primer lugar los alumnos deberán interconectar los equipos según la maqueta general. Una vez comprobadas las conexiones procedemos a encender los hosts y arrancarlos con el sistema operativo ‘linux redes’.
3
Una vez ha arrancado el sistema operativo entraremos con el usuario root y la password utilizada en las sesiones anteriores y pondremos enmarcha el programa minicom mediante el comando ‘minicom –s’, pulsando a continuación la tecla escape. Con el programa minicom ya en marcha encenderemos los routers, debiendo ver aparecer por consola los mensajes de arranque. Si no aparece nada deberemos comprobar los cables, los equipos y la configuración del minicom, que debe ser:
• Velocidad 9600 bits/s • 8 bits de datos • Un bit de parada...
Leer documento completo
Regístrate para leer el documento completo.