Banda Ancha EU

Comunidad de usuarios
de fibra, móvil y ADSL

hosting en interdominios
44 lecturas y 5 respuestas
  • Cerrado

    Cisco827 y lio con las ACLs

    Bueno, estoy aqui enrredando con las ACLs y pretendo crear una regla que impida que cualquier conexion iniciada desde fuera de mi red local llegue a ella (aunque sin mapear puertos esto no seria posible igualmente, pero me pica la curiosidad).

    Entonces, habia definido la siguiente regla

    access-list 106 permit tcp any any established

    El IOS siempre mete una ultima regla implicita , con lo que quedaria asi:

    access-list 106 permit tcp any any established
    access-list 106 deny ip any any

    He supuesto que colocando esta ACL en la interfaz Dialer1 (con la que salgo a internet[PPPoE]) en sentido IN , conseguiria que con la primera sentencia se aceptase todo el trafico proviniente de conexiones ya establecidas, y la segunda sentencia denegaria el paso a todas las que se inician desde el exterior. Pues bien, nada mas lejos de la realidad :D , al aplicarla como IN en dialer1 me quedo sin conexion xD

    A ver si alguien me pudiese decir donde esta el fallo o si he entendido mal el significado del parametro established :D

    Un saludo.

    Este tema es antiguo y puede contener información obsoleta. Abre un nuevo tema para publicar tu mensaje.
    1
    • Cerrado

      BocaDePez BocaDePez
      6

      No me hagas mucho caso... pero creo que estás denegando el…

      No me hagas mucho caso... pero creo que estás denegando el tráfico LCP e IPCP que es por lo que se cae la conexión.

      Por cierto, que tampoco permites las respuestas DNS que son udp, tcp sólo se usa entre servidores DNS para la transferencia de zona.

      -mjuliaq

    • Cerrado

      BocaDePez BocaDePez
      6

      DNS ¿TCP? Estas bastante equivocado. DNS son paquetes UDP al…

      DNS ¿TCP? Estas bastante equivocado.

      DNS son paquetes UDP al puesto 53 del servidor o desde el puerto 53 del servidor.

      • Cerrado

        De vuelta ? Las peticiones DNS son conexiones tcp , y si se…

        De vuelta ?

        Las peticiones DNS son conexiones tcp , y si se inician desde el interior de mi red local , no deberia tener que dejarlas pasar no? con la 102 deberia poder circular sin problemas ... o no? :D (Presiento que tengo algun concepto mal entendido :S )

        Gracias por tu respuesta, probare esa configuracion este finde que voy a casa otra vez :)

        Un saludo.

    • Cerrado

      BocaDePez BocaDePez
      6

      En teoria si que debería ir. Mira a ver si es que no estas…

      En teoria si que debería ir.
      Mira a ver si es que no estas dejando salir a las conexiones, prueba con esta configuracion

      access list 101 permit ip any any
      access list 102 permit tcp any any estabilished
      access-list 102 permit icmp any any echo-reply
      interface Dialer 1
      ip access-group 101 OUT
      ip access-group 102 IN