Entrar
Últimos assuntos
» internet lentapor brooklin_sul Qui 11 Abr - 19:17
» Como pingar pelos dois links
por bruno9988 Ter 20 Fev - 19:12
» BFW em paralelo com Mikrotik
por antoniogiga Qui 18 Jan - 1:40
» NAT MIKROTIK
por squall1808 Seg 8 Jan - 18:07
» Aumenta Lucro do provedor com Servidor de FILME - Dica como montar um " Netflix"
por bruno9988 Ter 19 Dez - 17:59
» hotspot conexao lenta
por brooklin_sul Seg 18 Dez - 1:04
» Acessar Radio e roteadores pelo Mikrotik
por antoniogiga Ter 15 Nov - 16:49
» [Resolvido]Balanceamento usando o Net Virtua ( Netcombo)
por antoniogiga Ter 15 Nov - 8:02
» whatsapp lento
por antoniogiga Ter 15 Nov - 8:00
» to de volta qual quer duvida soh chamar
por antoniogiga Ter 15 Nov - 7:58
» Firmware ApRouter em Radio - Chipset rtl8186!
por antoniogiga Dom 17 Jul - 18:02
» QoS por mac-address (ou IP amarrado) quando tenho 01 mikrotik + 05 routers
por rdnetwork Sex 4 Fev - 7:58
» Microtik - OpenVPN não conecta com 2 links 2 internet balanceados
por vagneroliveira Qui 3 Fev - 6:44
» Software gerenciamento ZTE C320
por lancecom Qui 18 Mar - 11:27
» Software Gerenciamento ZTE C320
por lancecom Seg 15 Mar - 17:21
Tópicos semelhantes
Top dos mais postadores
claudinhohw Network | ||||
morais2707 | ||||
cristiano.micros | ||||
cdanielboy | ||||
Sixagencia Networks | ||||
ZBTECK | ||||
dsdigital | ||||
BBD NET | ||||
Gerônimo | ||||
Marcelo |
Estatísticas
Temos 31893 usuários registradosO último membro registrado é Luiz Eduardo
Os nossos membros postaram um total de 38285 mensagens em 5803 assuntos
Criando uma ACL standard
Página 1 de 1
Criando uma ACL standard
Como dito anteriormente, as ACLs standard são o tipo mais básico de ACLs. Elas permitem apenas que você filtre o tráfego através dos endereços IP de origem, nada mais. Obviamente, esta falta de funcionalidades faz com que ACL’s standard sejam o tipo mais fácil de configurar.
Qualquer tipo de ACL é criada no modo de configuração global através do comando “access-list”. Para exemplificar o uso do comando, vamos começar criando uma ACL para negar qualquer coisa vinda do host 192.168.1.34:
Osiris(config)# access-list 1 deny 192.168.1.34 0.0.0.0
A linha acima é bem simples:
•1: Como dito anteriormente, ACLs standard têm que ser numeradas de 1 a 99 ou de 1300 a 1999. Aqui escolhi arbitrariamente o número 1;
•deny: Esta é a ação que será tomada com o pacote que casar com a regra da ACL. Neste caso, o pacote será negado pelo roteador. Você também poderia ter colocado “permit” para que o pacote passasse pelo firewall ou “remark”, que não é bem uma ação – ele permite a você adicionar um comentário na ACL (veremos com mais detalhes mais à frente);
•192.168.1.34 0.0.0.0: Este é o IP de origem e a wildcard mask, que neste caso casa apenas com este host específico.
Agora, vamos permitir todo o tráfego vindo do host 192.168.1.35, adicionar esta entrada na mesma ACL 1 utilizada anteriormente:
Osiris(config)# access-list 1 allow 192.168.1.35 0.0.0.0
Pronto! Agora a ACL 1 está parecida com o seguinte:
deny 192.168.1.34 0.0.0.0
allow 192.168.1.35 0.0.0.0
Lembre-se que nas ACLs os comandos vão sendo adicionados de acordo com a ordem em que você define e que a ordem faz muita diferença. Portanto, estude muito bem as suas possibilidades antes de sair adicionando as entradas.
E se você quisesse adicionar um comentário para facilitar o entendimento da ACL? Você consegue fazer isso utilizando a ação “remark”:
Osiris(config)# access-list 1 remark Permitindo o host do chefe
Você pode ver o comentário através do comando show running-config. O comentário que você vai digitar deve ter no máximo 100 caracteres.
Em alguns casos, pode ser interessante você logar quando um pacote casar com uma regra. A opção “log” permite a você fazer isso:
Osiris(config)# access-list 1 deny 192.168.1.2 0.0.0.0 log
Agora, sempre que alguma coisa casar com a regra acima uma mensagem informacional vai ser enviada para o console.
Antes de terminarmos a parte sobre ACLs standard, existem dois “atalhos” que você deveria conhecer: host e any.
O atalho host permite que você defina que o endereço que vem à seguir se refere à um host, sem precisar digitar a wildcard mask dele. Por exemplo, imagine a seguinte regra:
Osiris(config)# access-list 1 deny 192.168.1.1 0.0.0.0
Ela poderia ser reescrita da seguinte maneira:
Osiris(config)# access-list 1 deny host 192.168.1.1
E pronto, assim você não corre o risco de cometer um erro digitando a wildcard mask. O outro atalho é o “any”. Este atalho faz com que uma regra case com qualquer host, por exemplo:
Osiris(config)# access-list 1 allow any
Vai fazer com que o roteador permita que os pacotes de qualquer origem sejam enviados para o destino.
Essas são as opções de ACLs standard. Elas são bem simples pois não se pode definir protocolos e, como consequência, não se pode definir a porta. Por isso este tipo de ACL deve ser aplicada o mais próximo possível do destino, para garantir que os hosts negados neste tipo de ACL não sejam negados em redes às quais eles deveriam ter acesso.
NOTA: Lembre-se que ACLs standard devem sempre ser aplicadas próximo ao destino!
Qualquer tipo de ACL é criada no modo de configuração global através do comando “access-list”. Para exemplificar o uso do comando, vamos começar criando uma ACL para negar qualquer coisa vinda do host 192.168.1.34:
Osiris(config)# access-list 1 deny 192.168.1.34 0.0.0.0
A linha acima é bem simples:
•1: Como dito anteriormente, ACLs standard têm que ser numeradas de 1 a 99 ou de 1300 a 1999. Aqui escolhi arbitrariamente o número 1;
•deny: Esta é a ação que será tomada com o pacote que casar com a regra da ACL. Neste caso, o pacote será negado pelo roteador. Você também poderia ter colocado “permit” para que o pacote passasse pelo firewall ou “remark”, que não é bem uma ação – ele permite a você adicionar um comentário na ACL (veremos com mais detalhes mais à frente);
•192.168.1.34 0.0.0.0: Este é o IP de origem e a wildcard mask, que neste caso casa apenas com este host específico.
Agora, vamos permitir todo o tráfego vindo do host 192.168.1.35, adicionar esta entrada na mesma ACL 1 utilizada anteriormente:
Osiris(config)# access-list 1 allow 192.168.1.35 0.0.0.0
Pronto! Agora a ACL 1 está parecida com o seguinte:
deny 192.168.1.34 0.0.0.0
allow 192.168.1.35 0.0.0.0
Lembre-se que nas ACLs os comandos vão sendo adicionados de acordo com a ordem em que você define e que a ordem faz muita diferença. Portanto, estude muito bem as suas possibilidades antes de sair adicionando as entradas.
E se você quisesse adicionar um comentário para facilitar o entendimento da ACL? Você consegue fazer isso utilizando a ação “remark”:
Osiris(config)# access-list 1 remark Permitindo o host do chefe
Você pode ver o comentário através do comando show running-config. O comentário que você vai digitar deve ter no máximo 100 caracteres.
Em alguns casos, pode ser interessante você logar quando um pacote casar com uma regra. A opção “log” permite a você fazer isso:
Osiris(config)# access-list 1 deny 192.168.1.2 0.0.0.0 log
Agora, sempre que alguma coisa casar com a regra acima uma mensagem informacional vai ser enviada para o console.
Antes de terminarmos a parte sobre ACLs standard, existem dois “atalhos” que você deveria conhecer: host e any.
O atalho host permite que você defina que o endereço que vem à seguir se refere à um host, sem precisar digitar a wildcard mask dele. Por exemplo, imagine a seguinte regra:
Osiris(config)# access-list 1 deny 192.168.1.1 0.0.0.0
Ela poderia ser reescrita da seguinte maneira:
Osiris(config)# access-list 1 deny host 192.168.1.1
E pronto, assim você não corre o risco de cometer um erro digitando a wildcard mask. O outro atalho é o “any”. Este atalho faz com que uma regra case com qualquer host, por exemplo:
Osiris(config)# access-list 1 allow any
Vai fazer com que o roteador permita que os pacotes de qualquer origem sejam enviados para o destino.
Essas são as opções de ACLs standard. Elas são bem simples pois não se pode definir protocolos e, como consequência, não se pode definir a porta. Por isso este tipo de ACL deve ser aplicada o mais próximo possível do destino, para garantir que os hosts negados neste tipo de ACL não sejam negados em redes às quais eles deveriam ter acesso.
NOTA: Lembre-se que ACLs standard devem sempre ser aplicadas próximo ao destino!
Tópicos semelhantes
» Criando uma ACL extended
» Criando meu 1 Servidor Mikrotik
» Criando Gráficos de consumo no mikrotik.
» Criando meu 1 Servidor Mikrotik
» Criando Gráficos de consumo no mikrotik.
Página 1 de 1
Permissões neste sub-fórum
Não podes responder a tópicos
|
|