Prctica de Gestin de Redes

PRCTICA. Router CISCO 3640: Listas de acceso y NAT

EL objetivo principal de esta prctica es trabajar con las listas de acceso e

implementar NAT y NATP.

Listas de acceso, Access List.

Las listas de acceso se utilizan para determinar que trfico se acepta en el

router, es decir la forma en la que se permite y se deniega el paso de

paquetes a travs del router.

Configuracin de listas de acceso

1. Se define la lista de acceso, con una o varias entradas del tipo:

access-list nmero {permit | deny}{condicin}

2. Se aplica la lista de acceso sobre una o varias interfaz del router:

router(config)# interface ethernet 0/1

router(config-if)#ip access-group nmero {in | out}

Hay dos tipos de listas de acceso:
1. Listas de acceso estndar, se identifican por un nmero entre el 1 y el

99. Slo pueden analizar las direcciones IP de origen de los paquetes

que llegan al router.

2. Listas de acceso extendidas, se identifican por un nmero entre el 100

y el 199. En este caso pueden analizar:

Mscara

Direccin IP origen y destino.

Protocolos de TCP/IP: ICMP, UDP, TCP

Los nmeros de puerto.

Ambas utilizan un tipo especial de mscara para indicar que bits son
significativos:

Un cero significa comprobar el valor del bit correspondiente.

Un uno significa ignorar el valor del bit correspondiente.

Prctica de Gestin de Redes

Ejemplo: Para comprobar que el paquete recibido pertenece a una direccin

IP comprendida entre la 193.146.16.0 y la 193.146.31.255, se indicar:

193.146.16.0 mscara 0.0.15.255
Parmetro any

Para indicar que es vlida cualquier direccin IP se pondra:

Cualquier direccin IP + 255.255.255.255

Indicndole que no compruebe ningn bit. Para abreviar se puede indicar

con el parmetro any.

IP +255.255.255.255 any

Listas de acceso estndar

1. Se define la lista de acceso, con una o varias entradas del tipo:
access-list nmero {permit | deny} IP_origen mscara

Donde nmero est comprendido entre 1 y 99. Solamente se comprueba la

direccin de origen.

2. Se aplica la lista de acceso sobre una o varias interfaz del router, en un

sentido determinado:

router(config-if)#ip access-group nmero {in | out}

in, en este caso la comprobacin se hace cuando el paquete llega a

Out, en este caso la comprobacin se hace si el paquete sale por esa

esa interfaz.

interfaz.

Ejemplo 1:

Direcciones que no pertenecen a 200.21.0.0

eth1/1 red 200.21.12.0

eth0/1 red 200.21.13.0

Prctica de Gestin de Redes

access-list 1 permit 200.21.0.0 0.0.255.255

(access-list 1 deny any) (implicita, no hace falta ponerla)

interface ethernet 1/1
ip access-group 1 out

interface ethernet 0/1

ip access-group 1 out

Con este ejemplo la interfaz eth0/1 slo dejar pasar paquetes hacia su red

provenientes de la red 200.21.12.0 y la interfaz eth1/1 slo dejar pasar

paquetes hacia su red provenientes de la red 200.21.13.0.
Ejemplo 2:

Con el mismo diagrama de antes, ahora lo que se quiere evitar es que a la

red 200.21.12.0 le lleguen paquetes del host con IP 200.21.13.24.
access-list 2 deny 200.21.13.24 0.0.0.0
access-list 2 permit any

(access-list 1 deny any) (implicita, no hace falta ponerla)

interface ethernet 1/1
ip access-group 1 out

Si no se pusiera access-list 2 permit any ningn paquete podra salir a

travs de la interfaz 1/1, en las listas de acceso es muy importante el

orden. En el momento que un paquete no cumple una condicin de un

access-list se descarta ese paquete y si se comprueba que el paquete

cumple un access-list se deja pasar. Empezando a analizar las listas de

arriba hacia abajo.

Para indicar una IP concreta se puede utilizar el parmetro host:

access-list

200.21.13.24

deny

200.21.13.24

0.0.0.0

access-list

deny host

Reglas importantes

Las condiciones de las listas se procesan de arriba a abajo, hay que

colocar las reglas ms especficas primero.

Prctica de Gestin de Redes

Al final siempre hay un deny any implcito, para anular su efecto hay

Al aadir una lnea a la lista se aade siempre al final, no es posible

que colocar expresamente un permit any al final de la lista.

aadir o borrar lneas de forma selectiva.

Listas de acceso extendidas

Permiten el trfico en base a:

Direccin IP origen y destino.

Protocolos de TCP/IP: ICMP, UDP, TCP

Los nmeros de puerto.

Se les asigna un nmero entre 100 y 199.

1. Definir la lista de acceso:
access-list

nmero

{permit

deny}

{protocolo}{IP_origen

mascara}{IP_destino mascara}{opciones del protocolo y operadores}

2. Aplicar la lista a una o varias interfaz.
ip access-group nmero {in|out}
Ejemplo 1:

access-list 101 permit ip host 200.10.10.1 host 200.10.11.3

7

Ejemplo 2:

access-list 102 deny icmp any any echo

access-list 102 permit any any
Ejemplo 3:

access-list 103 permit tcp any 193.146.99.0 0.0.0.255 gt 1023 established

access-list 103 permit tcp any host 193.146.99.3 eq www

gt es greater than, >

lt es lower than, >

eq: es equal to, ==

www equivale a poner 80

Prctica de Gestin de Redes

Notas importantes

Utilizar listas de acceso supone una sobre carga para el router, ms en el

caso de las extendidas.

Rechazar el trfico lo ms cerca posible de su origen (es preferible hacerlo a

la entrada al router que a la salida).

Network Address Translation, NAT

Para implementar NAT en el router CISCO 3640 hay que realizar 4 pasos:

1. Marcar las interfaces sobre las que se hace NAT como internas o
externas.

2. Definir el pool de direcciones vlidas.

3. Asociar el pool a una lista de acceso y aadir traducciones estticas si

las hay.

4. Crear dicha lista de acceso.

1. Marcar las interfaces para habilitar NAT.

Eth 2/1 Internet

eth1/1 red 10.30.48.0

eth0/1 red 10.30.49.0

Router(config)#interface ethernet 1/1

Router(config-if)#ip nat inside

Router(config)#interface ethernet 0/1

Router(config-if)#ip nat inside

Router(config)#interface ethernet 2/1

Router(config-if)#ip nat outside

2. Definir el pool de direcciones disponibles para implementar NAT.

Router(config)#ip

nat

netmask 255.255.255.0

pool

nombrepool

200.210.20.1

200.210.20.11

Prctica de Gestin de Redes

3. Asociar el pool creado a una lista de acceso.

ip nat inside source list 25 pool nombrepool

De esta manera implementaramos NAT dinmico, con la limitacin de que

slo se puede aplicar simultneamente a tantos equipos como IPs tengamos

en el pool.

Si se quiere implementar NATP o PAT, hay que aadir el parmetro overload

al final, de esta manera puede realizarse la traduccin de direcciones para

un nmero ilimitado de equipos.

ip nat inside source list 25 pool nombrepool overload

Si se quiere utilizar NAT esttico para algn host (p.e. para un servidor
WEB):

ip nat inside source static 10.30.48.22 200.210.20.12

4. Crear la lista de acceso.

access-list 25 permit 10.30.48.0 0.0.0.255

access-list 25 permit 10.30.49.0 0.0.0.255
Requisitos para aplicar NAT a un paquete:

Entrar por una interfaz marcada como inside y salir por una interfaz

Que el paquete cumpla la lista de acceso.

outside.

Que queden direcciones libres en el pool(excepto si es NATP)

Otros comandos relacionados

show ip nat translations, muestra la tabla de traduccin de direcciones.

show ip nat statics, muestra estadsticas de uso de NAT.

clear ip nat translation *, borra la tabla de traducciones dinmicas.

EJERCICIOS
1. Lista de acceso estndar

Implementar en el router Andrmeda una lista de acceso para conseguir

que las redes 192.168.4.0 y 192.168.3.0 no puedan acceder a la red

Prctica de Gestin de Redes

192.168.5.0. Partir de los ficheros de configuracin almacenados en

ejercicio1.zip.

Es importante comprobar que la lista evita que desde la red 4 y 3 se pueda

acceder a la 5, pero que todo lo dems siga funcionando bien, p.e. que se

pueda salir hacia el resto de las redes, la 193.146.97.0, a la 200.10.10.1 y

viceversa.

2. Lista de acceso extendida

Implementar en el router Andrmeda una lista de acceso extendida para

conseguir que no se pueda hacer telnet a dicho router. A esto se le suele
llamar cerrar el puerto 23.

Nota: El comando telnet est disponible en los routers. P.e.: hacer telnet
desde router2, router3 o router4 a Andrmeda.

Comprobar que no habis denegado otro tipo de servicios.

3. NAT

En este caso se utilizarn los ficheros de ejercicio3.zip. Comprobar la

topologa y configuracin de la red. Se puede acceder desde las redes
192.168.0.0 al resto de la red? Por qu?

Implementar NAT en el router Andrmeda de manera que las IPS de las

redes 192.168.0.0 al salir hacia cualquiera de las otras redes(193.146.96.0,

97.0 o 200.10.10.0) se traduzca por direcciones IP pblicas.

Comprobar que funciona. Sugerencia: hacer telnet desde el router Afrodita

hacia el router 2, una vez hecho ejecutar el comando show users en el
router2 y veris con que IP habis llegado al router2.

Se puede acceder desde el resto de las redes hacia las 192.168.0.0? Por
qu?

Implementar NAT esttico para el host 192.168.4.61. Comprobar que

funciona. Se puede acceder desde el resto de las redes hacia el
192.168.4.61? Por qu?

Implementar NATP, tambin llamado PAT y comprobar que funciona.