Hola, a ver si alguien se ha pispado también de este bug en la última
versión del simulador de redes Cisco (packet tracer 4.11):

Qiuero tener dos redes (por fijar ideas, supongamos 192.168.1.0/24 y
192.168.2.0/24, con puertas de enlace 192.168.1.254 y
192.168.2.254) conectadas a router Cisco mediante las interfaces
Fast Ethernet Fa0/0 y Fa1/0 respectivamente.

Quiero filtrar el tráfico TCP en Fa0/0 procedente de la red
192.168.2.0, asi
que configuro una lista de acceso (ACL) extendida y se la aplico.
Entro en la consola IOS del router y establezco:

Router>enable
Router#configure terminal
Router#show access-lists
Extended IP access list 101
deny tcp 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
Extended IP access list 102
permit ip 192.168.1.0 0.0.0.255 any
Router#interface Fa0/0

Router(config-if)#ip access-group 101 out
Router(config-if)#ip access-group 102 in

Router(config-if)#^Z
%SYS-5-CONFIG_I: Configured from console by console
Router#exit

Explicación: el router compara los paquetes que pasan por una
interfaz con las ACLs que tenga a plicadas en ella y aplica la primera
regla que encuentre; en caso contrario, rechaza el paquete, de modo
que es como si existiese un "deny all" por defecto (y de ahí que, para
anularlo, aplico los "permit ip"; el router aplica las reglas en orden
contrario al enumarado, o sea, de la menos restrictiva a la más
restrictiva, y *debería* hacer lo que deseo). Por si acaso, con la ACL
102 permito todo el tráfico en dirección entrante hacia el router por
Fa0/0.

Al probar, obtengo:

1.- No hay tráfico TCP de la red 192.168.2.0 a la 192.168.1.0 (como
quería).

2.- Tampoco en sentido contrario, como era de esperar (ya que, al no
poder pasar los paquetes SYN-ACK del protocolo de saludo de tres
pasos, no puede llegar a establecerse la comunicación).

3.- (he aquí la indicación de bug) tampoco pasa el tráfico TCP entre
el router y la red 192.168.2.0, en ninguno de los dos sentidos, a pesar
de que no he aplicado niguna ACL en la interfaz Fa1/0...

Asi que, parece que el simulador de Cisco no interpreta bien las
ACLs extendidas? ... o lo hago yo mal?

¿Alguien lo ha comprobado? ¿No es un bug como muy
"clamoroso"?

Ahí queda como curiosidad.

Saludos,

Pablo Q.

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

>>>>> "Pablo" == Pablo Q <pepe***pepe.pp> writes:

Pablo> Router#show access-lists
Pablo> Extended IP access list 101
Pablo> deny tcp 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
Pablo> permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255

La verdad es que voy de memoria y hace tiempo que no lo miro,pero ¿las
acls extendidas para IP no van en el rango de 1000 a 1000 y pico? Me
suena que las 100 a 199 son las ACLs básicas, que se comportan de
manera diferente.

Claro que podría estar equivocado. En todo caso, no sé muy bien que
tiene que ver todo esto con Linux :-)

Saludos. Iñaki.

- --
Get PGP/GPG Keys at http://www.escomposlinux.org/iarenaza/pgpkey.php
I use free software / Yo uso software libre
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.6 (GNU/Linux)
Comment: Processed by Mailcrypt 3.5.8+ <http://mailcrypt.sourceforge.net/>

iD8DBQFIcqCDZXLnGT1HLgcRAgTpAKCC7P9Pkzk9ntrCc+IM9h jlzQ2SbACfby7d
+J8g1slcvUt+mKraisbw/Ko=
=SllL
-----END PGP SIGNATURE-----

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

>>>>> "Pablo" == Pablo Q <pepe***pepe.pp> writes:

Pablo> Router#show access-lists
Pablo> Extended IP access list 101
Pablo> deny tcp 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
Pablo> permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255

La verdad es que voy de memoria y hace tiempo que no lo miro,pero ¿las
acls extendidas para IP no van en el rango de 1000 a 1000 y pico? Me
suena que las 100 a 199 son las ACLs básicas, que se comportan de
manera diferente.

Claro que podría estar equivocado. En todo caso, no sé muy bien que
tiene que ver todo esto con Linux :-)

Saludos. Iñaki.

- --
Get PGP/GPG Keys at http://www.escomposlinux.org/iarenaza/pgpkey.php
I use free software / Yo uso software libre
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.6 (GNU/Linux)
Comment: Processed by Mailcrypt 3.5.8+ <http://mailcrypt.sourceforge.net/>

iD8DBQFIcqCDZXLnGT1HLgcRAgTpAKCC7P9Pkzk9ntrCc+IM9h jlzQ2SbACfby7d
+J8g1slcvUt+mKraisbw/Ko=
=SllL
-----END PGP SIGNATURE-----

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

>>>>> "Pablo" == Pablo Q <pepe***pepe.pp> writes:

Pablo> Router#show access-lists
Pablo> Extended IP access list 101
Pablo> deny tcp 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
Pablo> permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255

La verdad es que voy de memoria y hace tiempo que no lo miro,pero ¿las
acls extendidas para IP no van en el rango de 1000 a 1000 y pico? Me
suena que las 100 a 199 son las ACLs básicas, que se comportan de
manera diferente.

Claro que podría estar equivocado. En todo caso, no sé muy bien que
tiene que ver todo esto con Linux :-)

Saludos. Iñaki.

- --
Get PGP/GPG Keys at http://www.escomposlinux.org/iarenaza/pgpkey.php
I use free software / Yo uso software libre
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.6 (GNU/Linux)
Comment: Processed by Mailcrypt 3.5.8+ <http://mailcrypt.sourceforge.net/>

iD8DBQFIcqCDZXLnGT1HLgcRAgTpAKCC7P9Pkzk9ntrCc+IM9h jlzQ2SbACfby7d
+J8g1slcvUt+mKraisbw/Ko=
=SllL
-----END PGP SIGNATURE-----

Gracias Iñaki...

En realidad, las acls extendidas van de 100 a 199, y algunos centenares más
desde la 2000 y pico en adelante...

Sobre la temática... estás en lo cierto (sorry) aunque tratándose de un
subforo
de temática "Redes", pensé que se tratarían temas relacionados con la
infraestructura
en general y que no sería del todo "off-topic"...

Saludos,
Pablo Q.

""Iñaki" Arenaza" <iarenaza***eb2ebu.ampr.org> escribió en el mensaje
news:878wwdxpq2.fsf***barad-dur.escomposlinux.org...

Gracias Iñaki...

En realidad, las acls extendidas van de 100 a 199, y algunos centenares más
desde la 2000 y pico en adelante...

Sobre la temática... estás en lo cierto (sorry) aunque tratándose de un
subforo
de temática "Redes", pensé que se tratarían temas relacionados con la
infraestructura
en general y que no sería del todo "off-topic"...

Saludos,
Pablo Q.

""Iñaki" Arenaza" <iarenaza***eb2ebu.ampr.org> escribió en el mensaje
news:878wwdxpq2.fsf***barad-dur.escomposlinux.org...

Gracias Iñaki...

En realidad, las acls extendidas van de 100 a 199, y algunos centenares más
desde la 2000 y pico en adelante...

Sobre la temática... estás en lo cierto (sorry) aunque tratándose de un
subforo
de temática "Redes", pensé que se tratarían temas relacionados con la
infraestructura
en general y que no sería del todo "off-topic"...

Saludos,
Pablo Q.

""Iñaki" Arenaza" <iarenaza***eb2ebu.ampr.org> escribió en el mensaje
news:878wwdxpq2.fsf***barad-dur.escomposlinux.org...