Consideraciones sobre las ACL’s (listas de acceso)

Una lista de acceso puede ser aplicada a múltiples interfaces.

Sólo puede haber una lista de acceso por protocolo, por dirección y por interfaz.

Es posible tener varias listas para una interfaz, pero cada una debe pertenecer a un protocolo diferente.

Organice las listas de acceso de modo que las referencias más específicas a una red o subred aparezcan delante de las más generales.

Coloque las condiciones de cumplimiento más frecuente antes de las menos habituales.

Las adiciones a las listas se agregan siempre al final de éstas, pero siempre delante de la condición de denegación implícita.

No es posible agregar a eliminar selectivamente instrucciones de una lista cuando se usan listas de acceso numeradas, pero sí cuando se usan listas de acceso IP con nombre.

A menos que termine una lista de acceso con una condición de permiso implícito de todo, se denegará todo el tráfico que no cumpla ninguna de las condiciones establecidas en la lista al existir un deny implícito al final de cada lista.

Toda lista de acceso deben incluir al menos una instrucción permit. En caso contrario, todo el tráfico será denegado.

Cree una lista de acceso antes de aplicarla a la interfaz. Una interfaz con una lista de acceso inexistente o indefinida aplicada al mismo denegará todo el trafico.

Las listas de acceso permiten filtrar sólo el tráfico que pasa por el router. No pueden hacer de filtro para el tráfico originado por el propio router

El orden en el que aparecen las instrucciones en la lista de acceso es fundamental para un filtrado correcto. La practica recomendada consiste en crear las listas de acceso en un usando un editor de texto y descargarlas después en un router vía TFTP o copiando y pegando el texto. Las listas de acceso se procesan de arriba abajo. Si coloca las pruebas más específicas y las que se verificaran con más frecuencia al comienzo de la lista de acceso, se reducirá la carga de procesamiento. Solo las listas de acceso con nombre permiten la supresión, aunque no la alteración del orden de instrucciones individuales en la lista. Si desea reordenar las instrucciones de una lista de acceso, deber á eliminar la lista completa y volver a crearla en el orden apropiado o con las instrucciones correctas.

Las listas de acceso extendidas, deben colocarse normalmente lo más cerca posible del origen del tráfico que será denegado, mientras que las estándar lo mas cerca posible del destino.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s