Bug en simulador de redes Cisco con ACLs extendidas?
Pablo Q.
versión del simulador de redes Cisco (packet tracer 4.11):
Qiuero tener dos redes (por fijar ideas, supongamos 192.168.1.0/24 y
192.168.2.0/24, con puertas de enlace 192.168.1.254 y
192.168.2.254) conectadas a router Cisco mediante las interfaces
Fast Ethernet Fa0/0 y Fa1/0 respectivamente.
Quiero filtrar el tráfico TCP en Fa0/0 procedente de la red
192.168.2.0, asi
que configuro una lista de acceso (ACL) extendida y se la aplico.
Entro en la consola IOS del router y establezco:
Router>enable
Router#configure terminal
Router#show access-lists
Extended IP access list 101
deny tcp 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
Extended IP access list 102
permit ip 192.168.1.0 0.0.0.255 any
Router#interface Fa0/0
Router(config-if)#ip access-group 101 out
Router(config-if)#ip access-group 102 in
Router(config-if)#^Z
%SYS-5-CONFIG_I: Configured from console by console
Router#exit
Explicación: el router compara los paquetes que pasan por una
interfaz con las ACLs que tenga a plicadas en ella y aplica la primera
regla que encuentre; en caso contrario, rechaza el paquete, de modo
que es como si existiese un "deny all" por defecto (y de ahí que, para
anularlo, aplico los "permit ip"; el router aplica las reglas en orden
contrario al enumarado, o sea, de la menos restrictiva a la más
restrictiva, y *debería* hacer lo que deseo). Por si acaso, con la ACL
102 permito todo el tráfico en dirección entrante hacia el router por
Fa0/0.
Al probar, obtengo:
1.- No hay tráfico TCP de la red 192.168.2.0 a la 192.168.1.0 (como
quería).
2.- Tampoco en sentido contrario, como era de esperar (ya que, al no
poder pasar los paquetes SYN-ACK del protocolo de saludo de tres
pasos, no puede llegar a establecerse la comunicación).
3.- (he aquí la indicación de bug) tampoco pasa el tráfico TCP entre
el router y la red 192.168.2.0, en ninguno de los dos sentidos, a pesar
de que no he aplicado niguna ACL en la interfaz Fa1/0...
Asi que, parece que el simulador de Cisco no interpreta bien las
ACLs extendidas? ... o lo hago yo mal?
¿Alguien lo ha comprobado? ¿No es un bug como muy
"clamoroso"?
Ahí queda como curiosidad.
Saludos,
Pablo Q.
Iñaki Arenaza
Hash: SHA1
>>>>> "Pablo" == Pablo Q <pe...@pepe.pp> writes:
Pablo> Router#show access-lists
Pablo> Extended IP access list 101
Pablo> deny tcp 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
Pablo> permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
La verdad es que voy de memoria y hace tiempo que no lo miro,pero �las
acls extendidas para IP no van en el rango de 1000 a 1000 y pico? Me
suena que las 100 a 199 son las ACLs b�sicas, que se comportan de
manera diferente.
Claro que podr�a estar equivocado. En todo caso, no s� muy bien que
tiene que ver todo esto con Linux :-)
Saludos. I�aki.
- --
Get PGP/GPG Keys at http://www.escomposlinux.org/iarenaza/pgpkey.php
I use free software / Yo uso software libre
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.6 (GNU/Linux)
Comment: Processed by Mailcrypt 3.5.8+ <http://mailcrypt.sourceforge.net/>
iD8DBQFIcqCDZXLnGT1HLgcRAgTpAKCC7P9Pkzk9ntrCc+IM9hjlzQ2SbACfby7d
+J8g1slcvUt+mKraisbw/Ko=
=SllL
-----END PGP SIGNATURE-----
Pablo Q.
En realidad, las acls extendidas van de 100 a 199, y algunos centenares más
desde la 2000 y pico en adelante...
Sobre la temática... estás en lo cierto (sorry) aunque tratándose de un
subforo
de temática "Redes", pensé que se tratarían temas relacionados con la
infraestructura
en general y que no sería del todo "off-topic"...
Saludos,
Pablo Q.
""Iñaki" Arenaza" <iare...@eb2ebu.ampr.org> escribió en el mensaje
news:878wwdx...@barad-dur.escomposlinux.org...