3.14 - Wildcard masks nas ACLs

Neste tipo de máscara, um bit 0 quer dizer que o octeto tem que “casar” exatamente, ou seja, será examinado e um bit 1 é ignorado (pode ser qualquer coisa). Exatamente o contrário do que se faz quando se usa uma máscara de sub-rede normal.

Exemplo:

Seja uma wildcard mask que reconheça todos os IPs da rede 192.168.0.0/24.

1. 1- A máscara wildcard é 0.0.0.255. Os três primeiros 0s indicam que é obrigatório que 192.168.0 esteja presente no endereço IP do pacote sendo analisado. O bloco “255” indica que naquele octeto qualquer número é válido.
2. 2- Para identificar todas as redes entre 192.168.16.0/24 a 192.168.31.0/24 afetadas por uma regra. A wildcard seria 192.168.31.0 – 192.168.16.0 = 0.0.15.255. Os dois primeiros 0s indicam que é obrigatório que o bloco “192.168” esteja presente, 15 é a soma dos bits para que as sub-redes desejadas casem com a regra (bits examinados pela regra). O 255 indica que o último octeto não importa, será associado a qualquer número.
3. 3- Wildcard masks implica que tudo o que for “0″ deverá ser processado (examinado ou considerado) pela ACL, enquanto os bits marcados como “1″ deverão ser ignorados. É por este motivo que devemos inverter a máscara – no sentido dos bits – para podermos fazer o uso da ACL.
4. 4- Como fazer para configurar uma access-control-list de forma a permitir todos os hosts da rede 200.157.18.200 para que os mesmos possam acessar uma determinada sub-rede em sua rede? Uma wildcard mask de “255.255.255.0” não funcionará, pois ela ignora os três primeiros bytes do endereço IP. O que deve ser feito, neste caso, é informar ao roteador para processar os três primeiros bytes do endereço IP de origem de cada pacote, ignorando o quarto byte, já que o objetivo é permitir QUALQUER host da rede 200.157.18.200. Portanto, a configuração do critério de inspeção da ACL seria conforme:

200.157.18.0 0.0.0.255