Dudas sobre access-list

Unanswered Question
Dec 14th, 2011

Estoy buscando una manera de permitir trafico de udp pero solo cuando se haya originado localmente en mi red. Yo conocia de la opcion established que tienen tcp en las access lists pero cuando busco en udp no encuentro esa opcion:

ROUTER1(config)#access-list 100 permit udp any any ?

  dscp        Match packets with given dscp value

  eq          Match only packets on a given port number

  fragments   Check non-initial fragments

  gt          Match only packets with a greater port number

  log         Log matches against this entry

  log-input   Log matches against this entry, including input interface

  lt          Match only packets with a lower port number

  neq         Match only packets not on a given port number

  precedence  Match packets with given precedence value

  range       Match only packets in the range of port numbers

  time-range  Specify a time-range

  tos         Match packets with given TOS value

  <cr>

Mi router es un 2800 con version c2800nm-advsecurityk9-mz.124-24.T4.

I have this problem too.
0 votes
  • 1
  • 2
  • 3
  • 4
  • 5
Average Rating: 0 (2 ratings)
Ricardo Prado Wed, 12/14/2011 - 12:21

Hola Christopher:

   La opción de "established" sólo es válida para TCP, ya que este protocolo está basado en conexiones. Lo que la opción de "established" verifica son las banderas de TCP y se asegura que el tráfico que está llegando a tu equipo venga con una bandera de ACK o de RST, lo cual significaría que el tráfico es en respuesta de algo que se originó en tu LAN. Ningún otro protocolo de comunicaciones tiene estas banderas por eso no aparecería esa opción en una lista de acceso.

   En lugar de esto lo que puedes hacer es usar otro tipo de lista de acceso llamada "Reflexive Access-list" que se encarga de analizar el tráfico que se origina en su red y permitirlo de regreso, aquí hay más información al respecto:

http://www.cisco.com/en/US/docs/ios/sec_data_plane/configuration/guide/sec_cfg_ip_filter_ps6350_TSD_Products_Configuration_Guide_Chapter.html

   Otra opción que tienes es usar CBAC que hace más o menos lo mismo que una reflexive access-list a través de reglas de inspección:

http://www.cisco.com/en/US/products/sw/secursw/ps1018/products_tech_note09186a0080094e8b.shtml

   Finalmente, otra opción que se me ocurre es configurar la opción de "Zone Based Firewall", que hace que el router trabaje com oun Firewall, manteniendo una tabla de estados de las conexiones para cualquier tipo de tráfico:

http://www.cisco.com/en/US/products/ps6441/products_feature_guide09186a008060f6dd.html

   También podrías poner un firewall independiente que se dedique a proteger tu red permitiendo el regreso de sesiones iniciadas localmente.

Saludos,

Ricardo.

gmajano Wed, 12/14/2011 - 17:54

Ricardo: creo que es una excelente y ampliada respuesta. Estamos presenciando un trabajo buscando la colaboracion.

Aprovecho para desearte y a todos los colaboradores: FELIZ NAVIDAD Y PROSPERO AÑO NUEVO 2012

Actions

Login or Register to take actions

This Discussion

Posted December 14, 2011 at 12:14 PM
Stats:
Replies:2 Avg. Rating:
Views:1428 Votes:0
Shares:0
Tags: No tags.

Discussions Leaderboard