Routero Os Forum
Gostaria de reagir a esta mensagem? Crie uma conta em poucos cliques ou inicie sessão para continuar.
Entrar

Esqueci-me da senha

Últimos assuntos
» Como pingar pelos dois links
por bruno9988 Ter 20 Fev - 19:12

» BFW em paralelo com Mikrotik
por antoniogiga Qui 18 Jan - 1:40

» NAT MIKROTIK
por squall1808 Seg 8 Jan - 18:07

» Aumenta Lucro do provedor com Servidor de FILME - Dica como montar um " Netflix"
por bruno9988 Ter 19 Dez - 17:59

» hotspot conexao lenta
por brooklin_sul Seg 18 Dez - 1:04

» Acessar Radio e roteadores pelo Mikrotik
por antoniogiga Ter 15 Nov - 16:49

» [Resolvido]Balanceamento usando o Net Virtua ( Netcombo)
por antoniogiga Ter 15 Nov - 8:02

» whatsapp lento
por antoniogiga Ter 15 Nov - 8:00

» to de volta qual quer duvida soh chamar
por antoniogiga Ter 15 Nov - 7:58

» Firmware ApRouter em Radio - Chipset rtl8186!
por antoniogiga Dom 17 Jul - 18:02

» QoS por mac-address (ou IP amarrado) quando tenho 01 mikrotik + 05 routers
por rdnetwork Sex 4 Fev - 7:58

» Microtik - OpenVPN não conecta com 2 links 2 internet balanceados
por vagneroliveira Qui 3 Fev - 6:44

» Software gerenciamento ZTE C320
por lancecom Qui 18 Mar - 11:27

» Software Gerenciamento ZTE C320
por lancecom Seg 15 Mar - 17:21

» Gerenciador ZTE C320
por lancecom Seg 15 Mar - 17:20

Estatísticas
Temos 31889 usuários registrados
O último membro registrado é ercb200

Os nossos membros postaram um total de 38284 mensagens em 5802 assuntos

Criando uma ACL extended

Ir para baixo

Criando uma ACL extended Empty Criando uma ACL extended

Mensagem por Leopiri Ter 21 Fev - 17:11

Como você viu, as ACLs standard são extremamente simples porém oferecem pouquíssimas funcionalidades e isso pode acabar fazendo falta para você em vários casos.

Quando você precisa ser mais específico (permitir que tráfego HTTP do host A porém negar tráfego SMTP deste mesmo host),
você deve recorrer às ACLs extended. Nessas, você pode especificar portas e protocolos para controlar o tráfego.

O modo de criação de uma ACL extended não difere em nada do das ACLs standard. Porém, existem mais opções que você pode usar com as extended. Por exemplo, vamos fazer uma regra para bloquear tráfego HTTP saindo do host 192.168.0.1 e indo para o host 192.168.0.2:

Osiris(config)# access-list 100 deny tcp host 192.168.0.1 192.168.0.2 eq 80

Explicando em detalhes:
• access-list 100: você já conhece o comando access-list para criar ACLs. O 100 está aqui pois esta ACL é extended e, como você deve se lembrar, o número de ACLs extended é de 100 a 199 e de 2000 a 2699. Aqui escolhi 100 arbitrariamente.
• deny: é a ação desta regra. Ela irá negar pacotes que casarem com ela.
• tcp: aqui estamos definindo o protocolo. As opções de protocolo são ahp, eigrp, esp, gre, icmp, igmp, ip, ipinip, nos, ospf, pcp, pim, tcp e udp. Basta selecionar o protocolo correto e colocar o nome dele na linha.
• host 192.168.0.1: é o mesmo atalho explicado anteriormente. Ao invés de colocarmos uma wildcard mask para dizer que 192.168.0.1 é um host, colocamos a palavra-chave “host”. Este é o IP da origem.
• 192.168.0.2: é o endereço IP do destino.
• eq 80: diz que esta regra só se aplica quando a porta for igual à 80. Outros operadores que você pode usar são gt (a regra só casa com portas acima do número especificado), lt (a regra só casa com portas abaixo do número especificado), neq (a regra só casa quando a porta *NÃO* for a que foi especificada), range (a regra casa apenas quando a porta especificada no pacote está no intervalo de portas especificado na linha de comando). Além destes também existem alguns outros com finalidades diferentes. Por exemplo, established (veremos mais à diante), log (que como vimos mostra uma mensagem quando o pacote casa com a regra), rst (casa com pacotes que tem o flag TCP RST ativado, fin (mesma coisa do RST), etc. Opções aqui abundam Smile

Agora, mais um exemplo para deixar clara a diferença entre standard e extended: podemos fazer uma outra regra e dizer que tráfego SMTP (porta 25/TCP) deve ser aceito quando o destino for o host 192.168.0.2 e a origem 192.168.0.1:

Osiris(config)# access-list 100 permit tcp host 192.168.0.1 192.168.0.2 eq 25

Agora, o tráfego HTTP entre estes hosts será negado pelo roteador, porém tráfego SMTP poderá passar normalmente. Vale lembrar que em alguns casos você pode usar o nome do protocolo ao invés da porta. Por exemplo, ao invés de 23 usar “telnet”. Porém, nem todas as portas serão reconhecidas utilizando este método e você vai precisar usar o número da porta nestes casos (alguns exemplos de protocolos nomeados são domain (DNS), finger, ftp (21), ftp-data (20), nntp, irc).
Apenas para demonstrar uma funcionalidade um pouco diferente, vamos negar todos os pacotes de 192.168.0.3 cujos números de porta dos pacotes estejam no intervalo de 22 a 80 para qualquer destino:

Osiris(config)# access-list 100 deny tcp host 192.168.0.3 range 22 80 any

Como você pode ver, com isso você tem um controle muito melhor sobre o tráfego e pode fazer filtros mais inteligentes. Aplicar esta ACL à uma interface do roteador não é nem um pouco diferente do método utilizado com as ACLs standard. Apenas preste atenção ao número da ACL que você está aplicando para não cometer erros.

NOTA: Lembre-se que ACLs extended devem sempre ser aplicadas próximo à origem!

Agradecimentos: Pedro Pereira & Google
Leopiri
Leopiri
Iniciante
Iniciante

Mensagens : 44
Pontos : 75
Reputação : 7
Data de inscrição : 01/03/2011
Idade : 38
Localização Localização : Duque de Caxias

http://www.blackoutl2.com

Ir para o topo Ir para baixo

Ir para o topo

- Tópicos semelhantes

 
Permissões neste sub-fórum
Não podes responder a tópicos