1
resposta

por Roger Lira de Santana Junior

| 20.2k xp | 2 posts

Capitão-de-Mar-e-Guerra

Router(config)#ip access-list extended servidor-gerentes Router(config-ext-nacl)#deny tcp 172.16.2.131 0.0.0.0 172.16.3.2 0.0.0.0 Router(config-ext-nacl)#deny tcp 172.16.0.2 0.0.0.0 172.16.3.2 0.0.0.0 Router(config-ext-nacl)#permit tcp 172.16.0.3 0.0.0.0 172.16.3.2 0.0.0.0 Router(config-ext-nacl)#permit tcp 172.16.2.130 0.0.0.0 172.16.3.2 0.0.0.0

Router(config-ext-nacl)#permit ip any any

Inseri os comandos acima no roteador. Não queria que o IP 172.16.2.131 nem o IP 172.16.0.2 acessassem o servidor em 172.16.3.2. Somente os IPs 172.16.0.3 e 172.16.2.130 deveriam ter acesso ao servidor. Isso funcionou, mas o trafego entre VLANs foi bloqueado também. Como sugerido, inseri o comando "permit ip any any". O acesso entre VLANs voltou, mas também voltaram a ter acesso ao servidor os computadores que deveriam ser restringidos. Como resolver isso?

1 resposta

por Fabiano Augusto Teodoro

| 1445k xp | 2002 posts

23/05/2019

Olá Roger!

Essa configuração deve ser feita do mais restrito para o mais abrangente. Primeiro você negou os ips e depois fez as permissões. Primeiro deve permitir os ips dos gerentes, depois negar o restante e por ultimo permitir todo o resto.

A ordem dos comandos deveria ficar assim:

Router(config)#ip access-list extended servidor-gerentes

Router(config-ext-nacl)#permit tcp 172.16.0.3 0.0.0.0 172.16.3.2 0.0.0.0
Router(config-ext-nacl)#permit tcp 172.16.2.130 0.0.0.0 172.16.3.2 0.0.0.0

Router(config-ext-nacl)#deny tcp 172.16.2.131 0.0.0.0 172.16.3.2 0.0.0.0
Router(config-ext-nacl)#deny tcp 172.16.0.2 0.0.0.0 172.16.3.2 0.0.0.0

Router(config-ext-nacl)#permit ip any any

Agora, para fazer funcionar, é só executar o Router(config)# no ip access-list extended servidor-gerentes, que irá negar a configuração e depois executar como está acima.

Espero ter ajudado!