Document

2) ACL Extended

Seja o mesmo diagrama anterior.

Regras:

permitir ao usuário A somente o acesso ao serviço WEB no servidor;
permitir ao usuário B somente o acesso ao serviço de E-mail, no mesmo servidor.

Criação da ACL:

Router(config)# access-list 100 deny tcp host 192.168.0.100 host 192.168.100.100 eq 110

! nega o acesso do host A (192.168.0.100) ao servidor (191.168.100.100) somente ao serviço de E-mail (POP3 = porta TCP 110).

Router(config)# access-list 100 deny tcp host 192.168.10.100 host 192.168.100.100 eq 80

! nega o acesso do host A (192.168.10.100) para o host B (192.168.10.100) ao serviço WEB (HTTP = porta TCP 80).

Router(config)# access-list 100 permit ip any any

! permite o acesso de todo o resto, por todos.

Aplicação da ACL:


            Router(config)# int eth0/0

            Router(config-if)# ip access-group 100 out

Para uma ACL estendida:

Criação da ACL:


            Router(config)# ip access-list extended NOMEDAACL

            Router(config-ext-nacl)# deny tcp host 192.168.0.100 host 192.168.100.100 eq 110

            Router(config-ext-nacl)# deny tcp host 192.168.10.100 host 192.168.100.100 eq 80

            Router(config-ext-nacl)# permit ip any any

Aplicação da ACL:


            Router(config)# int eth0/0

            Router(config-if)# ip access-group NOMEDAACL out

Dicas:

ANY, quando se trata de ACLs, também pode ser escrito como 0.0.0.0 255.255.255.255
Quando for especificar uma rede, ao invés de um host, você precisa utilizar o wildcard, que seria uma espécie de máscara de rede invertida.