ACLs

REFLEXIVAS

Se desea permitir trfico fuera de la red, solo cuando el trfico es Generado dentro de la red. Para esto se creara una ACL reflexiva que P e r m i t a s o l o p i n g , c u a n d o e l p i n g e s g e n e r a d o p o r e l H O S T , p e r o s i e s generado por el router ISP debe bloquearse. FIREWALL(config)#ip access-list extended TRAF-SALIDA Crea una ACL nombrada, cuyo nombre es TRAF-SALIDA FIREWALL(config-ext-nacl)#permit icmp any any reflect ICMPTRAF Permite icmp desde cualquier IP a cualquier IP y crea una base de datos llamada ICMPTRAF con informacin de todo el trfico saliente FIREWALL(config-ext-nacl)#permit ip host 192.168.2.1 host 224.0.0.9 Permite paquetes RIP desde FIREWALL a ISP FIREWALL(config)#ip access-list extended TRAF-ENT Crea una ACL nombrada, cuyo nombre es TRAF- ENT FIREWALL(config-ext-nacl)#evaluate ICMPTRAFE vala el trfico generado desde dentro de la red para verificar si el trfico entrante es respuesta a trfico saliente. FIREWALL(config-ext-nacl)#permit ip host 192.168.2.2 host 224.0.0.9 Permite paquetes RIP desde ISP a FIREWALL

FIREWALL(config)#interface serial 1/1 FIREWALL(config-if)#ip access-group TRAF-ENT in Aplica la lista de acceso TRAF-ENT al trfico entrante por la interfaz serial1/1 FIREWALL(config-if)#ip access-group TRAF-SALIDA out Aplica la lista de acceso TRAF-SALIDA al trfico saliente por la interfaz serial1/1