M6 · Segurança

Configuração prática de ACLs

O que são ACLs

Access Control Lists (ACLs) são listas de regras aplicadas a interfaces de roteadores para filtrar tráfego IP com base em critérios definidos. Cada regra é chamada de ACE (Access Control Entry) e é avaliada sequencialmente, do topo para baixo. Quando o tráfego corresponde a uma ACE, a ação é executada e as demais regras são ignoradas. Ao final de toda ACL existe um implicit deny any implícito.

Tipos de ACL

ACL Padrão (Standard)

Filtra tráfego baseado somente no IP de origem. Numeração: 1–99 e 1300–1999.

R1(config)# access-list 10 permit 192.168.1.0 0.0.0.255
R1(config)# access-list 10 deny any

ACL Estendida (Extended)

Filtra por IP de origem, IP de destino, protocolo e porta. Numeração: 100–199 e 2000–2699.

R1(config)# access-list 110 permit tcp 10.0.0.0 0.0.0.255 any eq 80
R1(config)# access-list 110 deny ip any any

ACL Nomeada

Permite usar nomes descritivos e editar entradas individualmente.

R1(config)# ip access-list extended BLOCK_TELNET
R1(config-ext-nacl)# deny tcp any any eq 23
R1(config-ext-nacl)# permit ip any any

Onde aplicar a ACL

ACLs são aplicadas em interfaces com ip access-group, definindo direção:

  • in — filtra tráfego que entra na interface
  • out — filtra tráfego que sai da interface
R1(config)# interface GigabitEthernet0/1
R1(config-if)# ip access-group 110 in

Regra de posicionamento:

  • ACL padrão → aplique próximo ao destino (filtra só origem, pode bloquear demais se aplicada perto da fonte)
  • ACL estendida → aplique próximo à origem (evita tráfego desnecessário na rede)

Wildcards

A máscara curinga (wildcard mask) é o inverso da máscara de sub-rede. Bits 0 = deve corresponder; bits 1 = qualquer valor.

Rede Máscara Wildcard
192.168.1.0/24 255.255.255.0 0.0.0.255
10.0.0.0/8 255.0.0.0 0.255.255.255
Host único 0.0.0.0

Atalhos importantes:

  • any = 0.0.0.0 255.255.255.255
  • host 10.1.1.1 = 10.1.1.1 0.0.0.0

Verificação

R1# show access-lists
R1# show ip interface GigabitEthernet0/1
R1# show running-config | section access-list

Para limpar os contadores de acertos:

R1# clear ip access-list counters

Editando ACLs nomeadas

Em ACLs nomeadas, é possível inserir e remover ACEs por número de sequência sem recriar a lista inteira:

R1(config)# ip access-list extended BLOCK_TELNET
R1(config-ext-nacl)# no 10
R1(config-ext-nacl)# 10 deny tcp 192.168.1.0 0.0.0.255 any eq 23

Pontos críticos para o exame

  • O implicit deny ao final bloqueia tudo que não foi explicitamente permitido — sempre adicione um permit ip any any se necessário
  • Uma ACL sem nenhum permit bloqueia todo o tráfego
  • Apenas uma ACL por interface por direção (in ou out) é permitida
  • ACLs padrão numeradas não permitem edição por sequência — recrie a lista completa ou use ACLs nomeadas
  • O comando remark adiciona comentários na ACL sem afetar o funcionamento
R1(config)# access-list 10 remark Permite rede do escritorio