Re: [redewan] Filtros em cisco 2501

Mon, 19 Mar 2001 12:13:24 -0800

Date: Apr 28 2000 07:53:37 EDT
From: "Nobre Claudio (RBBR/AST41)" <[EMAIL PROTECTED]>
Subject: Re: [redewan] Filtros em cisco 2501 

Edinilson,
Voc� deve ter sempre a �ltima linha como "deny ip any any log".
Outra coisa, ao inv�s de permit ip 200.230.178.0 0.0.0.255 any log, procure
saber extamente quais portas e endere�os internos seus s�o acessados pelas
VPN�s.
Procure ser sempre o mais espec�fico poss�vel.
Lembre-se que a ordem na lista de acesso influi. O que voc� colocar depois
de deny ip any any
n�o vai funcionar. Por isso, para adicionar uma nova regra, voc� tem que
apagar a lista e criar ela
de novo, com as linhas em ordem correta (do mais espec�fico para o mais
gen�rico).
O melhor a fazer � dar permit nos protocolos/portas que voc� realmente
precisa e fechar a lista com deny ip any any log.
Feito isso, n�o faz mais sentido dar deny em portas/protocolos espec�ficos,
porque j� est� tudo fechado pelo deny any any.
Outro detalhe: lembre-se de que � melhor ter 2 listas (uma para input e
outra para output) e voc� ainda pode incluir na lista
o estado da conex�o (established, por exemplo). Isso � �til no caso de
telnet, por exemplo.
Espero ter ajudado,
Cl�udio.


> ----- Mensagem original -----
> De:		Edinilson J. Santos [SMTP:[EMAIL PROTECTED]]
> Enviada em:		Quinta-feira, 27 de Abril de 2000 9:29
> Para:		Lista de Discuss�o Rede Wan
> Assunto:		[redewan] Filtros em cisco 2501
> 
> Lista de Discuss�o Rede Wan - http://www.networkdesigners.com.br
> 
> Caros amigos da lista,
> 
> Temos um cisco 2501 com filtros para bloquear as mais diversas portas
> (31337, 139, etc,etc) algumas a nivel de TCP outras UDP.
> Porem, tenho como ULTIMA regra a linha abaixo, que esta gerando alguns
> problemas recentemente:
> 
> access-list 101 deny ip any any log
> 
> Essa regra esta bloqueando redes VPN's de algumas empresas, como por
> exemplo
> a PORTO SEGUROS e outras. Isso me forca a liberar determinada rede com a
> linha:
> 
> access-list 101 permit ip 200.230.178.0 0.0.0.255 any log
> 
> Pergunto entao: se eu dar PERMIT ao inves de DENY em regra IP, o que
> poderia
> estar liberando na nossa rede? Isso implicaria em alguma abertura
> importante
> em termos de seguranca?
> 
> Obrigado
> 
> Edinilson
> 
> ----------------------------------------------
> ATINET-O Provedor Internet de Atibaia e Regiao
>       Rua Francisco R. Santos, 54 sala 3
>          ATIBAIA/SP   Cep: 12940-000
>            Tel Voz: (011) 484-0876
>           Tel Fax: (011) 7871-2783
>          Tel Dados: (011) 7874-2300
>            http://www.atinet.com.br
> 
> 
> ______________________________________________________________________

Responder a