Buenas! He visto que se puede aplicar una ACL al puerto de consola en los IOS de Cisco, y es algo que no termino de entender muy bien, la verdad. He creado una ACL estándar con un deny any any y la he aplicado al puerto de consola sentido entrada (el físico, no a las líneas VTY) he conectado el router a un ordenador por el puerto de consola, y entra perfectamente, como era de esperar ya que el RS-232 no tiene IP xD. Todo esto en el PacketTracert, con GNS3 no me deja conectar PC al puerto de Consola y no tengo ningún router físico. Igualmente entre con GNS3 en la configuración de Consola de un 7200 y permite aplicarle una ACL. Mi pregunta es ¿para qué está eso ahí? Un puerto de consola no tiene dirección IP, pero joe, es Cisco. Si está, ¿será por algo?¿no? xDD
Buscando por interneses sólo encontré esto:
https://networkengineering.stackexchange.com/questions/17009/ingress-acl-for-console-line-in-ios (https://networkengineering.stackexchange.com/questions/17009/ingress-acl-for-console-line-in-ios)
Cuya respuesta deja mucho que desear, ya sé que el RS232 no tiene IP y que si quiero controlar el acceso tengo que hacerlo por otro sítio, lo que quiero saber es porque está eso ahi! xDD
No se si he entendido muy bien tu pregunta. El pc con el que te conectas supogo que tiene una ip, con esa ACL deniegas cualquier tipo de tráfico desde cualquier ip. Todas las ACL tienen un
"deny any any" implicito al final. Es decir, si una ACL no tiene una sentencia
"permit", se denegará todo el tráfico.
Un uso bastante útil para esa sentencia sería añadirle el valor
"log":
Citardeny any any log
Con esto puedes examinar el funcionamiento de tu ACL y que tráfico estás bloqueando.
Lo que comentas lo conocía, puse del deny any any porque quería bloquear todo el trafico y algo tenía que poner xD. Probé también con el log, pero no machea nada :S. El tema es que el PC no tiene una IP, por donde me conecto es por el puerto RS232. Y aunque tuviera IP, la IP la tendría la tarjeta de red del ordenador, que no interviene para nada en el RS232. Por eso me sorprende que al puerto de consola se le pueda aplicar una ACL, porque no tiene IP. y si pones la ACL, no hace nada, claro. Entonces ¿porqué se puede poner la ACL? No se si ahora aclaré un poco mi pregunta, igual gracias por la respuesta!
Si no mal recuerdo del ccna cuando creas el ACL al final se deberá todo es decir:
Permit xxxx
Permi xxxxx
Xxxxx (Aquí al final si no le pones algo más tengo entendido que se niega todo)
Me confundí con tu pregunta original, me la podrías repetir por favor?
Tengo el CCNA y realizo escenarios de vez en cuando, mi duda no es sobre ACLs en sí. La pregunta es porqué se puede aplicar una ACL al puerto de consola, el físico, no las VTY.
De todas formas, grax por las respuestas, seguiré mirando a ver!
Te paso el link de Cisco donde explican todo sobre los Port ACLs que creo que es lo que estas buscando:
http://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst6500/ios/12-2SY/configuration/guide/sy_swcg/port_acls.html
Atr0m
Muchas gracias por la documentación, es muy interesante.
De todas formas, mi duda sobre porque se puede aplicar una ACL a un puerto de consola continua xD. Vale, con PACL bajamos un nivel, ya no estamos filtrando trafico a nivel de IP, lo hacemos a nivel de MAC. Pero un puerto de consola sigue sin tener MAC.
Voy a terminar pensando que es un error que se pueda hacer, y listo xDD