M6 · Segurança

Prática de configuração de ACLs

O que são ACLs

Access Control Lists (ACLs) são listas de regras aplicadas em interfaces de roteadores para filtrar tráfego IP. Cada regra é chamada de ACE (Access Control Entry) e define se o tráfego é permitido (permit) ou bloqueado (deny).

Toda ACL termina com um deny any implícito — tráfego não correspondido a nenhuma ACE é descartado.

Tipos de ACL

Tipo Numeração Filtra por
Standard 1–99, 1300–1999 IP de origem
Extended 100–199, 2000–2699 IP origem/destino, protocolo, porta

ACL Standard

Filtra apenas pelo endereço IP de origem. Deve ser aplicada o mais próximo do destino possível.

R1(config)# access-list 10 permit 192.168.1.0 0.0.0.255
R1(config)# access-list 10 deny any

ACL Extended

Filtra por origem, destino, protocolo e porta. Deve ser aplicada o mais próximo da origem.

R1(config)# access-list 100 permit tcp 192.168.1.0 0.0.0.255 10.0.0.0 0.0.0.255 eq 80
R1(config)# access-list 100 deny ip any any

ACLs Nomeadas

Preferidas no ambiente profissional e no exame CCNA por serem mais legíveis e editáveis.

R1(config)# ip access-list standard BLOQUEIA_HOST
R1(config-std-nacl)# deny host 192.168.1.50
R1(config-std-nacl)# permit any

R1(config)# ip access-list extended PERMITE_WEB
R1(config-ext-nacl)# permit tcp any any eq 443
R1(config-ext-nacl)# deny ip any any

Aplicando ACL em Interface

ACLs são aplicadas por interface e por direção:

  • in — filtra antes de processar o pacote
  • out — filtra após o roteamento, antes de enviar
R1(config)# interface GigabitEthernet0/0
R1(config-if)# ip access-group 100 in

R1(config)# interface GigabitEthernet0/1
R1(config-if)# ip access-group PERMITE_WEB out

ACL em VTY (acesso remoto)

Para restringir acesso SSH/Telnet às linhas VTY:

R1(config)# access-list 10 permit 192.168.1.0 0.0.0.255
R1(config)# line vty 0 4
R1(config-line)# access-class 10 in

Verificação e troubleshooting

R1# show access-lists
R1# show ip interface GigabitEthernet0/0
R1# show running-config | section access-list

O comando show access-lists exibe o número de correspondências (matches) por ACE — essencial para confirmar que a ACL está funcionando.

Para limpar os contadores sem remover a ACL:

R1# clear ip access-list counters

Pontos críticos para o CCNA

  • A ordem das ACEs importa — o IOS processa de cima para baixo e para na primeira correspondência
  • Uma ACL aplicada em uma interface mas sem nenhuma regra correspondente descarta todo o tráfego pelo deny any implícito
  • ACLs standard: aplicar perto do destino; extended: perto da origem
  • Apenas uma ACL por interface por direção é permitida
  • Em ACLs nomeadas é possível deletar ACEs individuais com no + número de sequência; em ACLs numeradas não