M6 · Segurança

Configuração de ACL — Parte 2

Revisão Rápida

Na parte 1 vimos ACLs padrão (standard). Agora avançamos para ACLs estendidas e ACLs nomeadas — tópicos que aparecem diretamente no exame CCNA 200-301 (tópico 5.2).

ACL Estendida (Extended ACL)

ACLs estendidas filtram tráfego com mais granularidade: protocolo, IP de origem, IP de destino e porta.

Sintaxe:

access-list <100-199> {permit|deny} <protocolo> <origem> <destino> [operador porta]

Exemplo — bloquear HTTP de 192.168.1.0/24 para qualquer destino:

R1(config)# access-list 110 deny tcp 192.168.1.0 0.0.0.255 any eq 80
R1(config)# access-list 110 permit ip any any

> Regra de posicionamento: aplique ACLs estendidas o mais próximo da origem possível, para descartar o tráfego antes de ele atravessar a rede.

ACLs Nomeadas (Named ACLs)

ACLs nomeadas substituem as numeradas com vantagens importantes: nomes descritivos e edição de entradas individuais.

Criação de ACL nomeada padrão:

R1(config)# ip access-list standard BLOQUEIA_HOST
R1(config-std-nacl)# deny host 10.0.0.5
R1(config-std-nacl)# permit any

Criação de ACL nomeada estendida:

R1(config)# ip access-list extended PROTEGE_SERVIDOR
R1(config-ext-nacl)# deny tcp any host 172.16.1.10 eq 23
R1(config-ext-nacl)# permit ip any any

Editando ACLs (Sequence Numbers)

Cada entrada de ACL nomeada possui um número de sequência. Isso permite inserir ou remover regras sem recriar a lista inteira.

Ver sequências:

R1# show ip access-lists PROTEGE_SERVIDOR

Inserir regra entre sequências 10 e 20:

R1(config)# ip access-list extended PROTEGE_SERVIDOR
R1(config-ext-nacl)# 15 deny tcp any host 172.16.1.10 eq 443

Remover uma entrada específica:

R1(config-ext-nacl)# no 15

> ACLs numeradas não permitem edição por sequência no modo clássico. Use ACLs nomeadas quando precisar de flexibilidade.

Aplicando ACL à Interface

R1(config)# interface GigabitEthernet0/1
R1(config-if)# ip access-group PROTEGE_SERVIDOR in
Direção Avalia tráfego
in Entrando na interface
out Saindo da interface

ACL para Linhas VTY

Para restringir acesso SSH/Telnet ao roteador:

R1(config)# ip access-list standard ACESSO_VTY
R1(config-std-nacl)# permit 192.168.10.0 0.0.0.255
R1(config)# line vty 0 4
R1(config-line)# access-class ACESSO_VTY in

> Use access-class (não access-group) para linhas VTY.

Verificação

R1# show ip access-lists
R1# show ip interface GigabitEthernet0/1
R1# show running-config | section access-list

Pontos-Chave para o Exame

  • ACLs estendidas: numeração 100–199 e 2000–2699
  • ACLs estendidas ficam próximas à origem; padrão ficam próximas ao destino
  • Há sempre um deny any implícito no final — inclua permit ip any any quando necessário
  • access-class → VTY | access-group → interfaces
  • Números de sequência só funcionam em ACLs nomeadas