ACL extendidas y ACL6S extendidas

Las ACL extendidas y las ACL6S extendidas proporcionan parámetros y acciones que no están disponibles con ACL simples. Puede filtrar datos sobre la base de parámetros como la dirección IP de origen, el puerto de origen, la acción y el protocolo. Puede especificar tareas para permitir un paquete, denegar un paquete o conectar un paquete.

Las ACL y ACL6S extendidas se pueden modificar después de crearlas, y puede volver a numerar sus prioridades para especificar el orden en que se evalúan.

Nota: Si configura ACL simples y extendidas, las ACL simples tienen prioridad sobre las ACL extendidas.

Se pueden realizar las siguientes acciones en ACL y ACL6S extendidas: Modificar, Aplicar, Inhabilitar, Habilitar, Quitar y Renumerar (la prioridad). Puede mostrar ACL extendidas y ACL6S para verificar su configuración, y puede mostrar sus estadísticas.

Puede configurar Citrix ADC para registrar los detalles de los paquetes que coincidan con una ACL extendida. Sin embargo, no puede registrar detalles de paquetes que coincidan con un archivo ext

Aplicación de ACL extendidas y ACL6S extendidas: A diferencia de ACL simples y ACL6S, las ACL ampliadas y ACL6S creadas en Citrix ADC no funcionan hasta que se aplican. Además, si realiza modificaciones en una ACL extendida o ACL6, como inhabilitar las ACL, cambiar una prioridad o eliminar las ACL, debe volver a aplicar las ACL extendidas o ACL6. También debe volver a aplicarlos después de habilitar el registro. El procedimiento para aplicar ACL ampliadas o ACL6s vuelve a aplicarlas todas. Por ejemplo, si ha aplicado reglas de ACL extendidas 1 a 10 y, a continuación, crea y aplica la regla 11, se aplicarán de nuevo las 10 primeras reglas.

Si una sesión tiene una ACL DENY relacionada con ella, esa sesión finaliza cuando se aplican las ACL.

Las ACL extendidas y ACL6s están habilitadas de forma predeterminada. Cuando se aplican, Citrix ADC comienza a comparar los paquetes entrantes con ellos. Sin embargo, si los inhabilita, no se utilizarán hasta que los vuelva a habilitar, incluso si se vuelven a aplicar.

Cambiarla numeración de las prioridades de las ACL extendidas y ACL6 extendidas: los números de prioridad determinan el orden en que las ACL extendidas o ACL6 se asocian con un paquete. Una ACL con un número de prioridad más bajo tiene una prioridad más alta. Se evalúa antes de que las ACL con números de prioridad más altos (prioridades más bajas), y la primera ACL que coincida con el paquete determina la acción aplicada al paquete.

Cuando crea una ACL extendida o ACL6, Citrix ADC le asigna automáticamente un número de prioridad que es un múltiplo de 10, a menos que especifique lo contrario. Por ejemplo, si dos ACL extendidas tienen prioridades de 20 y 30, respectivamente, y desea que una tercera ACL tenga un valor entre esos números, puede asignarle un valor de 25. Si posteriormente desea conservar el orden en el que se evalúan las ACL pero restaurar su numeración a múltiplos de 10, puede utilizar el procedimiento de renumeración.

Configuración de ACL extendidas y ACL6S extendidas

La configuración de una ACL o ACL6 extendida en un Citrix ADC consiste en las siguientes tareas.

  • Cree una ACL extendida o ACL6. Cree una ACL o ACL6 extendida para permitir, denegar o conectar un paquete. Puede especificar una dirección IP o un intervalo de direcciones IP para que coincida con las direcciones IP de origen o destino de los paquetes. Puede especificar un protocolo para que coincida con el protocolo de los paquetes entrantes.
  • (Opcional) Modifique una ACL extendida o ACL6. Puede modificar ACL extendidas o ACL6S que haya creado previamente. O bien, si desea eliminar una temporalmente de uso, puede desactivarla y luego volver a habilitarla.
  • Aplicar ACL extendidas o ACL6s. Después de crear, modificar, inhabilitar o volver a habilitar, o eliminar una ACL extendida o ACL6, debe aplicar las ACL extendidas o ACL6 para activarlas.
  • (Opcional) Renumérese las prioridades de las ACL ampliadas o ACL6S. Si ha configurado ACL con prioridades que no son múltiplos de 10 y desea restaurar la numeración a múltiplos de 10, utilice el procedimiento de renumeración.

Procedimientos CLI

Para crear una ACL extendida mediante la CLI:

En el símbolo del sistema, escriba:

  • add ns acl <aclname> <aclaction> [-srcIP [<operator>] <srcIPVal>] [-srcPort [<operator>] <srcPortVal>] [-destIP [<operator>] <destIPVal>] [-destPort [<operator>] <destPortVal>] [-TTL <positive_integer>] [-srcMac <mac_addr>] [(-protocol <protocol> [-established]) | -protocolNumber <positive_integer>] [-vlan <positive_integer>] [-interface <interface_name>] [-icmpType <positive_integer> [-icmpCode <positive_integer>]] [-priority <positive_integer>] [-state ( ENABLED | DISABLED )] [-logstate ( ENABLED | DISABLED ) [-ratelimit <positive_integer>]]
  • show ns acl [<aclName>]

Ejemplo:

> add ns acl restrict DENY -srcport 45-1024 -destIP 192.168.1.1 -protocol TCP
 Done

Para crear una ACL6 extendida mediante la CLI:

En el símbolo del sistema, escriba:

  • add ns acl6 <acl6name> <acl6action> [-srcIPv6 [<operator>] <srcIPv6Val>] [-srcPort [<operator>] <srcPortVal>] [-destIPv6 [<operator>] <destIPv6Val>] [-destPort [<operator>] <destPortVal>] [-TTL <positive_integer>] [-srcMac <mac_addr>] [(-protocol <protocol> [-established]) | -protocolNumber <positive_integer>] [-vlan <positive_integer>] [-interface <interface_name>] [-icmpType <positive_integer> [-icmpCode <positive_integer>]] [-priority <positive_integer>] [-state ( ENABLED | DISABLED )]
  • show ns acl6 [<aclName>]

Ejemplo:

> add ns acl6 rule6  DENY -srcport 45-1024 -destIPv6 2001::45 -protocol TCP
 Done

Para modificar una ACL extendida mediante la CLI:

Para modificar una ACL extendida, escriba el comando set ns acl, el nombre de la ACL extendida y los parámetros que se van a cambiar, con sus nuevos valores.

Para modificar una ACL6 extendida mediante la CLI:

Para modificar una ACL6 extendida, escriba el comando set ns acl, el nombre de la ACL6 extendida y los parámetros que se van a cambiar, con sus nuevos valores.

Para inhabilitar o habilitar una ACL extendida mediante la CLI:

En el símbolo del sistema, escriba uno de los siguientes comandos:

  • disable ns acl <aclname>
  • enable ns acl <aclname>

Para inhabilitar o habilitar una ACL6 extendida mediante la CLI:

En el símbolo del sistema, escriba uno de los siguientes comandos:

  • disable ns acl6 <aclname>
  • enable ns acl6<aclname>

Para aplicar ACL extendidas mediante la CLI:

En el símbolo del sistema, escriba:

  • apply ns acls

Para aplicar ACL6s extendidos mediante la CLI:

En el símbolo del sistema, escriba:

  • apply ns acls6

Para volver a numerar las prioridades de las ACL extendidas mediante la CLI:

En el símbolo del sistema, escriba:

  • renumber ns acls

Para volver a numerar las prioridades de ACL6s extendidos mediante la CLI:

En el símbolo del sistema, escriba:

  • renumber ns acls6

Procedimientos de GUI

Para configurar una ACL extendida mediante la GUI:

Vaya a Sistema > Red > ACL y, en la ficha ACL extendidas, agregue una ACL extendida nueva o modifique una ACL extendida existente. Para habilitar o inhabilitar una ACL extendida existente, selecciónela y, a continuación, seleccione Habilitar o Inhabilitar en la lista Acción.

Para configurar un ACL6SACL6s extendido mediante la GUI:

Vaya a Sistema > Red > ACL y, en la ficha ACL6s extendidos, agregue una ACL6 extendida nueva o modifique una ACL6 extendida existente. Para habilitar o inhabilitar una ACL6 extendida existente, selecciónela y, a continuación, seleccione Habilitar o Inhabilitar en la lista Acción.

Para aplicar ACL extendidas mediante la GUI:

Vaya a Sistema > Red > ACL y, en la ficha ACL extendidas, en la lista Acción, haga clic en Aplicar.

Para aplicar ACL6SACL6s extendidos mediante la GUI:

Vaya a Sistema > Red > ACL y, en la ficha ACL6s extendidos, en la lista Acción, haga clic en Aplicar.

Para volver a numerar las prioridades de las ACL extendidas mediante la GUI:

Desplácese hasta Sistema > Red > ACL y, en la ficha ACL extendidas, en la lista Acción, haga clic en Renumerar prioridades.

Para volver a numerar las prioridades de ACL6SACL6s extendidos mediante la GUI:

Desplácese hasta Sistema > Red > ACL y, en la ficha ACL6s extendidos, en la lista Acción, haga clic en Renumerar Prioridad (s).

Configuraciones de ejemplo

La tabla siguiente muestra ejemplos de configuración de reglas de ACL extendidas a través de la interfaz de línea de comandos: Configuraciones de ejemplo de ACL.

Registro de ACL extendidas

Puede configurar Citrix ADC para registrar los detalles de los paquetes que coincidan con las ACL extendidas.

Nota: No puede habilitar el registro para ACL6s extendidos.

Además del nombre de la ACL, los detalles registrados incluyen información específica del paquete, como las direcciones IP de origen y destino. La información se almacena en el archivo syslog o en el archivo nslog, dependiendo del tipo de registro global (syslog o nslog) habilitado.

El registro debe estar habilitado tanto en el nivel global como en el nivel ACL. La configuración global tiene prioridad. Para obtener más información sobre cómo habilitar el registro globalmente, consulte “.”

Para optimizar el registro, cuando varios paquetes del mismo flujo coinciden con una ACL, solo se registran los detalles del primer paquete y el contador se incrementa para cada paquete que pertenece al mismo flujo. Un flujo se define como un conjunto de paquetes que tienen los mismos valores para la dirección IP de origen, la dirección IP de destino, el puerto de origen, el puerto de destino y los parámetros de protocolo. Para evitar la inundación de mensajes de registro, Citrix ADC realiza una limitación de velocidad interna para que los paquetes que pertenecen al mismo flujo no se registren repetidamente. El número total de flujos diferentes que se pueden registrar en un momento determinado está limitado a 10.000.

Nota: Debe aplicar ACL después de habilitar el registro.

Procedimientos CLI

Para configurar el registro de ACL extendido mediante la CLI:

En el símbolo del sistema, escriba los siguientes comandos para configurar el registro y verificar la configuración:

  • set ns acl-**logState** (ENABLED | DISABLED)<positive_integer>-**RateLimit**[[]] <aclName>
  • mostrar ns acl\<aclName>[<aclName>]

Ejemplo:

> set ns acl restrict -logstate ENABLED -ratelimit 120
Warning: ACL modified, apply ACLs to activate change

Procedimientos de GUI

Para configurar el registro ACL extendido mediante la GUI:

  1. Vaya a Sistema > Red > ACL y, en la ficha ACL extendidas, abra la ACL extendida.
  2. Defina los siguientes parámetros:
    • Estado del registro: Habilite o inhabilite el registro de eventos relacionados con la regla de ACL extendida. Los mensajes de registro se almacenan en el servidor syslog o auditlog configurado.
    • Límite de velocidad de registro: Número máximo de mensajes de registro que se generarán por segundo. Si establece este parámetro, debe habilitar el parámetro Estado de registro.

Registro ACL6 extendido

Puede configurar el dispositivo Citrix ADC para registrar los detalles de los paquetes que coincidan con una regla ACL6 extendida. Además del nombre ACL6, los detalles registrados incluyen información específica del paquete, como las direcciones IP de origen y destino. La información se almacena en un archivo syslog o nslog, dependiendo del tipo de registro (syslog o nslog) que haya configurado en el dispositivo Citrix ADC.

Para optimizar el registro, cuando varios paquetes del mismo flujo coinciden con un ACL6, solo se registran los detalles del primer paquete. El contador se incrementa para cada otro paquete que pertenece al mismo flujo. Un flujo se define como un conjunto de paquetes que tienen los mismos valores para los siguientes parámetros:

  • IP de origen
  • IP de destino
  • Puerto de origen
  • Puerto de destino
  • Protocolo (TCP o UDP)

Si un paquete entrante no es del mismo flujo, se crea un flujo nuevo. El número total de flujos diferentes que se pueden registrar en un momento determinado está limitado a 10.000.

Procedimientos CLI

Para configurar el registro para una regla ACL6 extendida mediante la CLI:

  • Para configurar el registro al agregar la regla ACL6 extendida, en el símbolo del sistema, escriba:
    • add acl6 **<acl6Name> <acl6action> [-logState** (ENABLED | DISABLED)] []
    • show acl6 [<acl6Name>]
    • apply acls6
  • Para configurar el registro para una regla ACL6 extendida existente, en el símbolo del sistema, escriba:
    • set acl6 **<acl6Name> [-logState** (ENABLED | DISABLED)] []
    • show acl6 [<acl6Name>]
    • apply acls6

Procedimientos de GUI

Para configurar el registro ACL6 extendido mediante la GUI:

  1. Vaya a Sistema > Red > ACL y, a continuación, haga clic en la ficha ACL6s extendidos.
  2. Defina los siguientes parámetros al agregar o modificar una regla ACL6 extendida existente.
    • Estado del registro: Habilite o inhabilite el registro de eventos relacionados con la regla ACL6s extendida. Los mensajes de registro se almacenan en el servidor syslog o auditlog configurado.
    • Límite de velocidad de registro: Número máximo de mensajes de registro que se generarán por segundo. Si establece este parámetro, debe habilitar el parámetro Estado de registro.

Ejemplo:

> set acl6 ACL6-1 -logstate ENABLED -ratelimit 120
Done

> apply acls6
Done

Visualización de las estadísticas de ACL extendida y ACL6s extendida

Puede mostrar estadísticas de ACL extendidas y ACL6S.

En la siguiente tabla se enumeran las estadísticas asociadas con ACL y ACL6S extendidas, así como sus descripciones.

Estadística Especifica
Permitir aciertos de ACL Paquetes que coincidan con ACL con el modo de procesamiento establecido en Permitir. Citrix ADC procesa estos paquetes.
Hits de ACL de NAT Paquetes que coinciden con una ACL NAT, lo que resulta en una sesión NAT.
Denegar aciertos de ACL Los paquetes descartados porque coinciden con las ACL con el modo de procesamiento establecido en DENY.
Actos de ACL de puente Paquetes que coinciden con una ACL de puente, que en modo transparente omite el procesamiento del servicio.
ACL aciertos Paquetes que coinciden con una ACL.
ACL falla Paquetes que no coinciden con ninguna ACL.

Procedimientos CLI

Para mostrar las estadísticas de todas las ACL extendidas mediante la CLI:

En el símbolo del sistema, escriba:

  • stat ns acl

Para mostrar las estadísticas de todos los ACL6s extendidos mediante la CLI:

En el símbolo del sistema, escriba:

  • stat ns acl6

Procedimientos de GUI

Para mostrar las estadísticas de una ACL extendida mediante la GUI:

Vaya a Sistema > Red > ACL, en la ficha ACL extendidas, seleccione la ACL extendida y haga clic en Estadísticas.

Para mostrar las estadísticas de un ACL6 extendido mediante la GUI:

Vaya a Sistema > Red > ACL, en la ficha ACL6s extendida, seleccione la ACL extendida y haga clic en Estadísticas.

ACL con estado

Una regla de ACL con estado crea una sesión cuando una solicitud coincide con la regla y permite las respuestas resultantes incluso si estas respuestas coinciden con una regla de ACL de denegación en el dispositivo Citrix ADC. Una ACL con estado descarga el trabajo de crear reglas de ACL adicionales/reglas de sesión de reenvío para permitir estas respuestas específicas.

Las ACL con estado se pueden utilizar mejor en una implementación de firewall perimetral de un dispositivo Citrix ADC que tenga los siguientes requisitos:

  • El dispositivo Citrix ADC debe permitir las solicitudes iniciadas desde clientes internos y las respuestas relacionadas de Internet.
  • El dispositivo debe quitar los paquetes de Internet que no estén relacionados con ninguna conexión de cliente.

Antes de empezar

Antes de configurar reglas ACL con estado, tenga en cuenta los siguientes puntos:

  • El dispositivo Citrix ADC admite reglas ACL con estado, así como reglas ACL6 con estado.
  • En una configuración de alta disponibilidad, las sesiones de una regla ACL con estado no se sincronizan con el nodo secundario.
  • No puede configurar una regla ACL como con estado si la regla está enlazada a cualquier configuración de Citrix ADC NAT. Algunos ejemplos de configuraciones de NAT de Citrix ADC son:
    • RNAT
    • NAT a gran escala (NAT44 a gran escala, DS-Lite, NAT64 a gran escala)
    • NAT64
    • Sesión de reenvío
  • No puede configurar una regla de ACL como con estado si se establecen parámetros TTL y Establecidos para esta regla de ACL.
  • Las sesiones creadas para una regla de ACL con estado continúan existiendo hasta el tiempo de espera, independientemente de las siguientes operaciones de ACL:
    • Quitar ACL
    • Inhabilitar ACL
    • Borrar ACL
  • Las ACL con estado no son compatibles con los siguientes protocolos:
    • FTP activo
    • TFTP

Configurar reglas ACL IPv4 con estado

La configuración de una regla ACL con estado consiste en habilitar el parámetro con estado de una regla ACL.

Para habilitar el parámetro con estado de una regla ACL mediante la CLI:

  • Para habilitar el parámetro con estado al agregar una regla de ACL, en el símbolo del sistema, escriba:
    • add acl <lname> ALLOW -stateful ( ENABLED | DISABLED )
    • aplicar ACL
    • show acl <name>
  • Para habilitar el parámetro con estado de una regla de ACL existente, en el símbolo del sistema, escriba:
    • set acl <name> -stateful ( ENABLED | DISABLED )
    • aplicar ACL
    • show acl <name>

Para habilitar el parámetro con estado de una regla ACL mediante la CLI:

  1. Vaya a Sistema > Red > ACL y, en la ficha ACL extendidas.
  2. Habilite el parámetro Stateful al agregar o modificar una regla de ACL existente.
    > add acl ACL-1 allow -srciP 1.1.1.1 -stateful Yes

    Done

    > apply acls6

    Done

    > show acl

    1)         Name: ACL-1

      Action: ALLOW                          Hits: 0

      srcIP = 1.1.1.1

      destIP

      srcMac:

      Protocol:

      Vlan:                                 Interface:

      Active Status: ENABLED                 Applied Status: NOTAPPLIED

      Priority: 10                           NAT: NO

      TTL:

      Log Status: DISABLED

      Forward Session: NO

     Stateful: YES

Configurar reglas ACL6 con estado

La configuración de una regla ACL6 con estado consiste en habilitar el parámetro con estado de una regla ACL6.

Para habilitar el parámetro con estado de una regla ACL6 mediante la CLI:

  • Para habilitar el parámetro con estado al agregar una regla ACL6, en el símbolo del sistema, escriba:
    • add acl6 <name> ALLOM -stateful ( ENABLED | DISABLD )
    • apply acls6
    • show acl6 <name>
  • Para habilitar el parámetro con estado de una regla ACL6 existente, en el símbolo del sistema, escriba:
    • set acl6 <name> -stateful ( ENABLED | DISABLED )
    • apply acls6
    • show acl6 <name>

Para habilitar el parámetro con estado de una regla ACL6 mediante la CLI:

  1. Vaya a Sistema > Red > ACL y, en la ficha ACL6s extendidos.
  2. Habilite el parámetro Stateful al agregar o modificar una regla ACL6 existente.
    >  add acl6 ACL6-1 allow -srcipv6 1000::1 –stateful Yes

    Done

    >  apply acls6

    Done

    > show acl6

    1)    Name: ACL6-1

      Action: ALLOW                          Hits: 0

      srcIPv6 = 1000::1

      destIPv6

      srcMac:

      Protocol:

      Vlan:                                 Interface:

      Active Status: ENABLED                 Applied Status: NOTAPPLIED

      Priority: 10                           NAT: NO

      TTL:

     Forward Session: NO

     Stateful: YES