Material desenvolvido por Lucas Campelo
— Como boas práticas iremos usar da ferramenta ACL e outras ferramentas de configuração do devices da Huawei para proteger nossa rede.
— Primeiro iremos criar uma ACL do tipo que da (Match) em alguma Pool de endereços especificadas nessa ACL.
acl ip-pool MY_PREFIX_PUBLIC ip address x.x.0.0 x.x.0.0 quit
acl ip-pool PREFIX_REDE_INSIDE ip address 10.0.0.0 0.63.255.255 ip address 192.168.0.0 0.0.255.255 ip address 172.16.0.0 0.15.255.255 quit commit
No comando a cima criamos duas Pool de endereços dando Match em alguns prefixos públicos e outros privados da nossa rede que iremos usar essa mesma acl em outra regra na frente.
-Agora iremos criar outra ACL dando match em algumas portas de serviços.
acl port-pool PORT_DNS eq 53 quit commit
acl port-pool DROP_PORTS eq 19 eq 25 eq 1900 eq 11211 quit commit
— Como podemos observar criamos duas acl uma dando match na porta destinada e reservada ao protocolo dns, outra regra dando match em algumas portas de serviços que não devem ser usada como forward através da nossa rede.
- Agora iremos criar uma ACL dando match nessas outras ACL que criamos com finalidade de realizar alguma ação senda ela de permit ou deny.
— Primeiros iremos uma acl como uma segunda camada de proteção para nosso dns interno, como sabemos não devemos aceitar requisição de consulta ao nosso dns pela rede externa apenas para dentro da nossa rede.
acl name DROP_DNS_IN advance rule 5 deny udp destination X.X.0.0 0.0.0.0 destination-port-pool PORT_DNS quit commit
acl name DROP_DNS_IN advance rule 5 deny udp destination X.X.0.0 0.0.0.0 destination-port-pool PORT_DNS quit commit
— Agora precisamos configurar um classificador que chamamos de classifier dando match nessas últimas ACLs criadas e um COMPORTAMENTO de deny que chamamos de behavior.
traffic policy classifier CL_DROP_DNS operator or if-match acl name DROP_DNS_IN quit commit
traffic policy classifier CL_DROP-PORTS_INVALIDS operator or if-match acl name DROP_PORTS_INVALIDS quit commit
traffic policy behavior BH_DROP deny quit commit
— Aqui criamos dois classificares "classifier" dando match nas ACL desejadas, foram criadas dois classificadores "classifier", pois iremos usar em dois traffic-policy diferentes, mas iremos usar o mesmo comportamento "BEHAVIOR" nas duas traffic policy.
— Agora vamos criar nossa traffic policy.
traffic policy TP_DROP_DNS share-mode statistics enable classifier CL_DROP_DNS behavior BH_DROP precedence 1 quit commit
traffic policy TP_DROP_PORTS_INVALIDS share-mode statistics enable classifier DROP_PORTS_INVALIDS behavior BH_DROP precedence 1 quit commit
Estamos quase lá, nossas ACLs e POLICY criadas, agora precisamos apenas aplicar as traffic policy nas interfaces desejas, no nosso cenário iremos aplicar elas nas interfaces que recebem o link.
Entrar na interface desejada
inteface "identificação da interface" traffic-policy TP_DROP_DNS inbound traffic-policy DROP_PORTS_INVALIDS outbound quit commit
Pronto, como podem ver, aplicamos a traffic-policy TP_DROP_DNS inbound no sentindo inbound, isso quer dizer que o tráffego que estiver entrando com destino a porta 53 no protocolo UDP e com destination address o ip do nosso dns
ele irá dropar. E a outro traffic-policy DROP_PORTS_INVALIDS outbound nos informa que o tráfego que estiver saindo com destino a portas especificadas será dropado.
É isso pessoal!
Espero que tenha ajudado em algo.
Aceito um cafe em!
Este artigo foi útil?
Que bom!
Obrigado pelo seu feedback
Desculpe! Não conseguimos ajudar você
Obrigado pelo seu feedback
Feedback enviado
Agradecemos seu esforço e tentaremos corrigir o artigo