ACLs: Entendendo de vez os parametros IN e OUT

Sinceramente, chega de conversa. Aprender ACL sem ter dificuldade em entender como funcionam os parametros in e out do comando ‘ip access-group’ do modo de interface é privilegio de poucos. Tive as minhas dificuldades.

Afinal o que significam os parametros in e out? Naturalmente significam entrada e saida. Então porque a dificuldade em usa-lo? O problema reside na direcção a aplicar. Repare a seguinte figura:

O problema nos diz que devemos evitar que o tráfego proveniente da rede 192.168.1.0 alcance a rede 192.168.4.0. Todas as outras redes podem ser alcançadas.

A teoria das acls nos diz que acls padrão devem ser colocadas mais ‘proximas do destino do tráfego’. A nossa acl é a seguinte (ver fig. acima):

access-list 9 deny 192.168.1.0 0.0.0.255
access-list 9 permit any

Naturalmente esta acl por ser padrão irá ser colocada no router da rede 192.168.4.0.

A pergunta que se coloca é a seguinte: Em que direcção? in ou out? Poderiamos cair na tentacção de considerar como in na interface serial, já que o tráfego entrante indesejavel vem de 192.168.1.0 por aquele caminho. Mas não é assim, porque devemos levar em conta que acls padrão devem ser posicionadas mais proximas do destino e como o destino mais proximo a rede 192.168.4.0 é a interface fa0/0 então ela deve ali ser colocada. Mas em que direcção? Note que deve ser colocada na direcção out porque a posição de fa0/0 nos indica que o tráfego ali passante ‘atravessou’ o roteador de um extremo de entrada (interface serial) até o outro de saida (fa0/0).

E se fosse uma acl estendida? Aonde ela seria aplicada?
A seguinte acl seria produzida:

access-list 109 deny ip 192.168.1.0 0.0.0.255 192.168.4.0 0.0.0.255
access-list 109 permit ip any any

Novamente recorremos a definição que nos diz que acls estendidas devem ser posicionadas mais proximas a ‘origem do tráfego’. E aonde está mais proxima a origem dos dados? Na interface fa0/0 do roteador da rede 192.168.1.0. E em que direcção deva ser colocada? Logico que na direcção in do roteador porque a mesma nao necessita de ‘atravessar’ o roteador para ser tratada.

É apenas uma questão de se ‘jogar’ com a definição de lista padrão e estendida e entender que uma direcção out na maior parte das vezes indica tráfego ‘atravessante’ no roteador e in indica tráfego a entrar ao roteador.

3 pensamentos sobre “ACLs: Entendendo de vez os parametros IN e OUT

  1. quando crio uma acl deny da 192.168.1.0 para 192.168.4.0, como out na …4.0, então não temos trafego da …1.0 para …4.0 certo? Então a rede 1.0 não faz ping na 4.0, mas também a rede 4.0 não faz ping na 1.0. Como faço para que isso ocorro (não dar ping de A para B mas dar ping de B para A)?

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s