1 / 11

🔐 ACL

Access Control List (Lista de Acesso)

Filtragem de Pacotes IP em Roteadores

📚 Curso

Técnico Integrado em Informática
Arquitetura de Redes de Computadores
Tecnologias de Implementação de Redes
Professor: César Azevedo

💡 Dica: Use as setas ⬅️ ➡️ do teclado para navegar

📡 O que é ACL?

ACL = Lista de Controle de Acesso (Access Control List)
São instruções configuradas manualmente no roteador
Filtram pacotes IP de entrada e saída das interfaces
Implementam controle de tráfego na rede

🎯 Funções Principais

Permitir (PERMIT) - deixa o pacote passar
Negar (DENY) - bloqueia o pacote
Regras são processadas de cima para baixo
A primeira regra correspondente é aplicada
🚦 Pacote entra → ACL verifica → PERMIT (passa) ou DENY (bloqueia)

🔢 Tipos de ACL

📌 ACL Padrão

ID: 1 a 99
(Range de números reservados para ACLs padrão)
Inspeciona APENAS o IP de origem
Mais simples e rápida
Menos controle fino

📌 ACL Estendida

ID: 100 a 199
(Range de números reservados para ACLs estendidas)
Inspeciona múltiplos campos
Mais complexa e poderosa
Melhor controle granular

🔍 ACL Padrão - Em Detalhes

📝 O que ela analisa?

Apenas o endereço IP de origem do pacote
Não importa destino, protocolo ou porta
Ideal para bloqueios gerais por origem

💻 Sintaxe

access-list <ID> <PERMIT | DENY> <IP_ORIGEM> [máscara wildcard]

Exemplos:
access-list 10 deny 192.168.0.1
access-list 10 deny 192.168.0.0 0.0.0.255
access-list 10 permit any

⚠️ Importante

Sempre terminar com permit any (senão tudo é bloqueado)
Máscaras wildcard são o inverso das máscaras de sub-rede
Uma vez aplicada, não pode ser editada (remover e recriar)

📊 Exemplo Prático - ACL Padrão

Exemplo de ACL Padrão

💡 Cenário

Bloquear o acesso de PC0 (192.168.0.2) às redes 20.10.10.0 e 30.0.0.0

💻 Configuração

Router(config)# access-list 10 deny 192.168.0.2
Router(config)# access-list 10 permit any
Router(config)# interface fastEthernet 0/0
Router(config-if)# ip access-group 10 in

🔍 ACL Estendida - Em Detalhes

📝 O que ela analisa?

IP de Origem
IP de Destino
Protocolo (TCP, UDP, ICMP, etc.)
Porta (com operadores de comparação)

🔧 Operadores de Porta

eq: igual a
(Ex: eq 80 = porta 80 exatamente)
gt: maior que
(Ex: gt 1024 = portas acima de 1024)
lt: menor que
(Ex: lt 100 = portas abaixo de 100)
neq: não igual a
(Ex: neq 80 = qualquer porta menos a 80)
range: entre intervalo
(Ex: range 1 1023 = portas de 1 a 1023)

⚙️ Sintaxe ACL Estendida

💻 Estrutura

access-list <ID> <PERMIT|DENY> <PROTOCOLO> <ORIGEM> <DESTINO> [comparação porta]

ID: 100 a 199
PROTOCOLO: tcp, udp, icmp, ip, etc.
ORIGEM/DESTINO: host IP, rede IP máscara, any

💡 Exemplos Práticos

! Negar TCP de um host específico para porta 80
access-list 100 deny tcp host 192.168.0.2 any eq 80

! Negar ICMP (PING) de uma rede para qualquer lugar
access-list 100 deny icmp 192.168.0.0 0.0.0.255 any

! Negar qualquer coisa de um host
access-list 100 deny ip host 10.0.0.5 any

! Permitir tudo o mais
access-list 100 permit ip any any

📊 Exemplo Prático - ACL Estendida

Exemplo de ACL Estendida

💡 Cenário

Negar tráfego direto de PC0 para PC3, mas permitir outros protocolos

💻 Configuração

Router(config)# access-list 100 deny ip host 192.168.0.2 host 172.16.0.2
Router(config)# access-list 100 permit ip any any
Router(config)# interface fastEthernet 0/0
Router(config-if)# ip access-group 100 in

🧪 Teste ICMP (PING)

! Negar apenas ICMP
Router(config)# no access-list 100
Router(config)# access-list 100 deny icmp host 192.168.0.2 any
Router(config)# access-list 100 permit ip any any

Agora PING é bloqueado, mas HTTP passa!

🔧 Gerenciamento de ACLs

📋 Exibir ACLs

! Ver todas as ACLs
Router# show access-lists

! Ver ACL específica
Router# show access-list 100

! Ver ACLs aplicadas às interfaces
Router# show ip access-list

🗑️ Remover ACLs

! Remover ACL da interface
Router(config)# interface fastEthernet 0/0
Router(config-if)# no ip access-group 100 in

! Deletar ACL completamente
Router(config)# no access-list 100

⚠️ Ordem Importa!

ACLs são processadas de cima para baixo
A primeira regra correspondente é aplicada
Depois disso, nenhuma outra regra é verificada

📚 Resumo - ACL

🔒 ACL Padrão (1-99)

Analisa: IP origem
Mais simples
Menos controle
access-list 10 deny
192.168.0.1
access-list 10
permit any

🔒 ACL Estendida (100-199)

Analisa: Origem, destino, protocolo, porta
Mais complexa
Máximo controle
access-list 100 deny
tcp host 192.168.0.2
any eq 80
access-list 100
permit ip any any

✨ Regra Dourada

Sempre termine suas ACLs com "permit any" ou "deny any"
Caso contrário, o comportamento padrão é negar!

🎯 Quiz - Teste seus Conhecimentos

Questão 1 de 5

O que é uma ACL?

A) Instruções para filtrar pacotes IP em roteadores
B) Um tipo de firewall externo
C) Uma interface de rede
D) Um protocolo de roteamento

Questão 2 de 5

Qual é o range de ID para ACLs Padrão?

A) 1 a 99
B) 100 a 199
C) 200 a 299
D) 0 a 50

Questão 3 de 5

O que uma ACL Padrão inspeciona?

A) Apenas o endereço IP de origem
B) IP origem, destino e protocolo
C) Apenas portas
D) MAC address dos dispositivos

Questão 4 de 5

O que o operador "eq" significa em uma ACL Estendida?

A) Maior que
B) Igual a
C) Menor que
D) Não igual a

Questão 5 de 5

Como é processada uma ACL?

A) De cima para baixo, aplicando a primeira regra correspondente
B) De forma aleatória
C) Todas as regras são aplicadas simultaneamente
D) A ordem não importa