# Configuración de ACL (Pagina 28 del manual) Una **ACL (Access Control List)** es un conjunto ordenado de reglas que el router evalúa una a una para decidir si **permite o deniega** el paso de un paquete. Actúa como un guardia de seguridad en la entrada o salida de una interfaz, filtrando el tráfico según los criterios que definas. Las ACL funcionan a través de un router que lee todas las reglas **en orden secuencial** y aplica la **primera que coincide**, ignorando el resto. Al final de toda ACL existe un `deny any` implícito que **nunca aparece en pantalla pero siempre está activo** — si ninguna regla coincide, el paquete se descarta. ``` Paquete llega → ¿Coincide regla 1? → No → ¿Coincide regla 2? → No → ... → DENY implícito (descartado) ↓ Sí ↓ Sí permit/deny permit/deny ``` > ⚠️ **Error más común:** crear solo reglas `deny` y olvidar el `permit any` final. Resultado: todo el tráfico bloqueado.

¿Qué relación tienen las ACL con las reglas de iptables?

Te puede sonar que las ACL de Cisco e iptables de Linux comparten el **mismo propósito y filosofía** — filtrar tráfico con reglas ordenadas — pero difieren significativamente en arquitectura, capacidades y sintaxis. Ambas tiene en común que comparten tres principios fundamentales: * Las reglas se evalúan **en orden secuencial**, aplicando la primera que coincide * Existe un **deny/DROP implícito** al final si ninguna regla coincide * Filtran por IP origen, IP destino, protocolo y puerto Sin embargo, tienen algunas diferencias clave:

Aspecto	ACL Cisco	iptables Linux
Dónde vive	Router/Switch Cisco (hardware dedicado)	Kernel Linux en cualquier máquina
Stateful / Stateless	Stateless — evalúa cada paquete independientemente	Stateful — puede rastrear el estado de la conexión (`ESTABLISHED`, `NEW`, `RELATED`)
Organización	ACLs numeradas o nombradas aplicadas a interfaces	Tablas (`filter`, `nat`, `mangle`) con cadenas (`INPUT`, `OUTPUT`, `FORWARD`)
NAT integrado	NAT es un comando separado (`ip nat`)	iptables gestiona NAT directamente con la tabla `nat`
Aplicación	`in` / `out` en una interfaz específica	Cadenas `INPUT` (paquetes al propio equipo), `OUTPUT` (paquetes generados), `FORWARD` (paquetes enrutados)
Acción al denegar	`deny` (descarta silenciosamente)	`DROP` (descarta) o `REJECT` (descarta y notifica al origen)

### La gran ventaja de iptables: stateful inspection Esta es la diferencia más importante a nivel técnico. En Cisco ACL, para permitir el tráfico de vuelta de una conexión TCP debes escribir reglas explícitas en ambas direcciones, o usar la keyword `established`. En iptables basta con una sola regla usando el módulo de estado: ```bash # iptables — permite conexiones ya establecidas sin reglas adicionales iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -m state --state NEW -p tcp --dport 80 -j ACCEPT iptables -A INPUT -j DROP ``` En Cisco ACL equivalente necesitarías: ``` ! Cisco — hay que permitir explícitamente el tráfico de retorno access-list 100 permit tcp any host 10.1.1.10 eq 80 access-list 100 permit tcp host 10.1.1.10 eq 80 any established ``` ### Entonces, ¿Cuándo usar cada uno? * **ACL Cisco** → cuando gestionas routers/switches Cisco en entornos corporativos; filtrado rápido a nivel de interfaz de red * **iptables** → cuando el "router" es un servidor Linux (muy común en entornos cloud, VMs, Docker, firewalls software como pfSense o iptables puro). * En redes empresariales modernas ambos coexisten: el router Cisco hace el filtrado perimetral con ACL y los servidores Linux internos se protegen individualmente con iptables

{% tabs %} {% tab title="La Wildcard Mask" %} Antes de ver los tipos de ACL, hay que dominar la **wildcard mask**, que es la inversa de la subnet mask:

Subnet Mask	Wildcard Mask	Significado
`255.255.255.255`	`0.0.0.0`	Solo ese host exacto → usar `host`
`255.255.255.0`	`0.0.0.255`	Toda la red `/24`
`255.255.0.0`	`0.0.255.255`	Toda la red `/16`
`0.0.0.0`	`255.255.255.255`	Cualquier IP → usar `any`

El bit `0` en la wildcard = **debe coincidir**. El bit `1` = **no importa**. {% endtab %} {% endtabs %} ### Tipos de ACL #### ACL Estándar (1–99 y 1300–1999) Filtra **únicamente por IP de origen**. Es simple pero poco flexible. Se debe colocar **cerca del destino** porque al no poder especificar destino, aplicarla cerca del origen podría bloquear tráfico legítimo hacia otras redes.

**Sintaxis:** ``` R1(config)# access-list [1-99] {permit|deny} [ip-origen] [wildcard] R1(config)# interface GigabitEthernet0/0 R1(config-if)# ip access-group [número] {in|out} ``` **Ejemplo — Bloquear toda la red 10.2.0.0/24 y permitir el resto:** ``` R1(config)# access-list 1 deny 10.2.0.0 0.0.0.255 R1(config)# access-list 1 permit any R1(config)# interface GigabitEthernet0/1 ! interfaz cerca del destino R1(config-if)# ip access-group 1 out ``` #### ACL Extendida (100–199 y 2000–2699) Filtra por **IP origen, IP destino, protocolo y puerto**. Mucho más precisa. Se debe colocar **cerca del origen** para evitar que el tráfico no deseado recorra innecesariamente la red.

**Sintaxis:** ``` R1(config)# access-list [100-199] {permit|deny} [protocolo] [ip-origen] [wildcard] [ip-destino] [wildcard] [eq puerto] ``` **Protocolos usados:** `ip`, `tcp`, `udp`, `icmp` **Puertos comunes:** | Puerto | Servicio | | -------- | -------- | | `eq 80` | HTTP | | `eq 443` | HTTPS | | `eq 21` | FTP | | `eq 22` | SSH | | `eq 23` | Telnet | | `eq 53` | DNS | **Ejemplo — Solo permitir HTTP y DNS desde la red interna, bloquear todo lo demás:** ``` R1(config)# access-list 100 permit tcp 192.168.1.0 0.0.0.255 any eq 80 R1(config)# access-list 100 permit tcp 192.168.1.0 0.0.0.255 any eq 443 R1(config)# access-list 100 permit udp 192.168.1.0 0.0.0.255 any eq 53 ! El deny any implícito bloquea el resto R1(config)# interface GigabitEthernet0/0 ! cerca del origen R1(config-if)# ip access-group 100 in ``` #### ACL Nombrada (Named ACL) Igual que estándar o extendida pero usando **un nombre** en lugar de número. Ventaja clave: permite **eliminar líneas individuales** sin borrar toda la ACL. **Sintaxis:** ``` R1(config)# ip access-list {standard|extended} [NOMBRE] R1(config-std-nacl)# permit / deny ... R1(config-std-nacl)# exit R1(config)# interface GigabitEthernet0/0 R1(config-if)# ip access-group [NOMBRE] {in|out} ``` **Ejemplo:** ``` R1(config)# ip access-list extended FILTRO_WEB R1(config-ext-nacl)# remark Permite solo HTTP y HTTPS al servidor R1(config-ext-nacl)# permit tcp any host 10.1.1.10 eq 80 R1(config-ext-nacl)# permit tcp any host 10.1.1.10 eq 443 R1(config-ext-nacl)# deny ip any any R1(config-ext-nacl)# exit R1(config)# interface Serial0/0/0 R1(config-if)# ip access-group FILTRO_WEB in ``` Es importante saber dónde colocar la ACL (regla de oro) según:

Tipo	Colocar cerca de...	Por qué
Estándar	El destino	Solo filtra por origen; ponerla cerca del origen bloquearía rutas alternativas legítimas
Extendida	El origen	Especifica origen Y destino, así el tráfico no deseado se descarta antes de cruzar la red

*** ### Práctica 1 — ACL Estándar: Bloquear un departamento **Escenario:** Impedir que la red del Departamento RRHH (`192.168.2.0/24`) acceda al servidor financiero (`10.1.1.20`). El resto de la red sí puede acceder. ``` text[RRHH 192.168.2.0/24]──Gi0/1──[R1]──Gi0/0──[Servidores 10.1.0.0/16] Servidor Financiero: 10.1.1.20 ``` ``` ! ACL estándar: cerca del DESTINO (Gi0/0, hacia los servidores) R1(config)# access-list 10 deny 192.168.2.0 0.0.0.255 R1(config)# access-list 10 permit any R1(config)# interface GigabitEthernet0/0 R1(config-if)# ip access-group 10 out ! Verificación R1# show access-lists R1# show ip interface GigabitEthernet0/0 ``` **Resultado esperado:** Los hosts de `192.168.2.0/24` no pueden hacer ping ni acceder al servidor `10.1.1.20`. El resto de redes sí. *** ### Práctica 2 — ACL Extendida: Filtrado granular por servicio **Escenario:** La red de empleados (`192.168.3.0/24`) solo puede acceder al servidor web (`10.1.1.10`) por HTTP/HTTPS. Se bloquea Telnet a cualquier destino y todo lo demás. ``` text[Empleados 192.168.3.0/24]──Gi0/2──[R1]──Gi0/0──[Servidores 10.1.0.0/16] ``` ``` text! ACL extendida: cerca del ORIGEN (Gi0/2, interfaz de empleados) R1(config)# access-list 101 permit tcp 192.168.3.0 0.0.0.255 host 10.1.1.10 eq 80 R1(config)# access-list 101 permit tcp 192.168.3.0 0.0.0.255 host 10.1.1.10 eq 443 R1(config)# access-list 101 deny tcp 192.168.3.0 0.0.0.255 any eq 23 ! El deny implícito bloquea el resto R1(config)# interface GigabitEthernet0/2 R1(config-if)# ip access-group 101 in ! Verificación R1# show access-lists 101 R1# show ip interface GigabitEthernet0/2 ``` **Resultado esperado:** Los empleados acceden al servidor web por el puerto 80 y 443. Cualquier intento de Telnet o acceso a otro servidor es bloqueado. *** ### Comandos de Verificación y Troubleshooting ``` ! Ver todas las ACLs configuradas con contadores de matches R1# show access-lists ! Ver ACL específica R1# show access-lists 101 R1# show access-lists FILTRO_WEB ! Ver qué ACLs están aplicadas en cada interfaz R1# show ip interface GigabitEthernet0/0 ! Ver la configuración en ejecución (ACLs + interfaces) R1# show running-config | include access ! Reiniciar contadores (útil para pruebas limpias) R1# clear ip access-list counters ``` Referencias: *