Professional Documents
Culture Documents
Dm752v10-91 Control de Acceso
Dm752v10-91 Control de Acceso
Dm752v10-91 Control de Acceso
Control de Acceso
Doc. DM752 Rev. 10.91
Junio, 2013
ÍNDICE
- ii -
j) ENTRY <id> PRECEDENCE ................................................................................. 25
k) ENTRY <id> TCP-SPECIFIC ESTABLISHED ...................................................... 25
l) ENTRY <id> TOS-OCTET ..................................................................................... 25
m) ENTRY <id> CONNECTION ................................................................................. 25
n) ENTRY <id> DESCRIPTION ................................................................................. 26
5.3. LIST ........................................................................................................................ 26
a) LIST ALL-ENTRIES ................................................................................................ 26
b) LIST ADDRESS-FILTER-ENTRIES........................................................................ 27
c) LIST ENTRY ............................................................................................................ 27
5.4. MOVE-ENTRY ...................................................................................................... 27
5.5. DESCRIPTION....................................................................................................... 28
5.6. NO ........................................................................................................................... 28
a) NO ENTRY .............................................................................................................. 28
b) NO DESCRIPTION ................................................................................................. 29
5.7. EXIT ....................................................................................................................... 29
6. Listas de Acceso Stateful ................................................................................................... 30
6.1. ? (AYUDA) ............................................................................................................. 30
6.2. ENTRY ................................................................................................................... 30
a) ENTRY <id> DEFAULT ......................................................................................... 31
b) ENTRY <id> LABEL .............................................................................................. 32
c) ENTRY <id> DENY ................................................................................................ 32
d) ENTRY <id> DESCRIPTION ................................................................................. 32
e) ENTRY <id> DESTINATION ADDRESS ............................................................... 33
f) ENTRY <id> DESTINATION TCP PORT .............................................................. 33
g) ENTRY <id> DESTINATION UDP PORT ............................................................. 33
h) ENTRY <id> HEX-STRING.................................................................................... 33
i) ENTRY <id> IN-INTERFACE ................................................................................ 33
j) ENTRY <id> IPSEC ............................................................................................... 34
k) ENTRY <id> LENGTH INTERVAL ........................................................................ 34
l) ENTRY <id> NO..................................................................................................... 34
m) ENTRY <id> PROTOCOL...................................................................................... 34
n) ENTRY <id> PROTOCOL-RANGE ....................................................................... 35
o) ENTRY <id> PEER2PEER ..................................................................................... 35
p) ENTRY <id> PERMIT ............................................................................................ 35
q) ENTRY <id> RATE-LIMIT ..................................................................................... 35
r) ENTRY <ID> CONN-LIMIT .................................................................................. 36
s) ENTRY <id> TCP-FLAGS...................................................................................... 36
t) ENTRY <id> SOURCE ADDRESS ......................................................................... 36
u) ENTRY <id> SOURCE TCP PORT ........................................................................ 37
v) ENTRY <id> SOURCE UDP PORT ....................................................................... 37
w) ENTRY <id> STRING............................................................................................. 37
x) ENTRY <id> STUN ................................................................................................ 37
y) ENTRY <id> RTP ................................................................................................... 37
z) ENTRY <id> SESSION EXPIRE ............................................................................ 38
aa) ENTRY <id> SESSION STATE............................................................................... 38
bb) ENTRY <id> SESSION-MARK ............................................................................... 38
cc) ENTRY <id> HTTP-FILTER .................................................................................. 39
dd) ENTRY <id> WEBSTR ........................................................................................... 40
ee) ENTRY <id> WEBURL .......................................................................................... 41
6.3. NO ........................................................................................................................... 41
a) NO ENTRY .............................................................................................................. 41
7. Show Config....................................................................................................................... 42
8. Ejemplo práctico ................................................................................................................ 43
• Creación de las listas de control de acceso .................................................. 43
• Asociación de Lista de acceso a Protocolo IPSec ........................................ 44
Capítulo 3 Monitorización ................................................................................................46
1. Comandos de Monitorización ............................................................................................ 47
- iii -
1.1. ? (AYUDA) ............................................................................................................. 47
1.2. LIST ........................................................................................................................ 48
a) LIST ALL ................................................................................................................. 48
• LIST ALL ALL-ACCESS-LISTS ............................................................... 48
• LIST ALL ADDRESS-FILTER-ACCESS-LISTS ...................................... 49
• LIST ALL ACCESS-LIST .......................................................................... 50
b) LIST CACHE ........................................................................................................... 50
• LIST CACHE ALL-ACCESS-LISTS ......................................................... 50
• LIST CACHE ADDRESS-FILTER-ACCESS-LISTS ................................ 51
• LIST CACHE ACCESS-LIST ..................................................................... 51
c) LIST ENTRIES ........................................................................................................ 52
• LIST ENTRIES ALL-ACCESS-LISTS....................................................... 52
• LIST ENTRIES ADDRESS-FILTER-ACCESS-LISTS ............................. 53
• LIST ENTRIES ACCESS-LIST .................................................................. 53
1.3. CLEAR-CACHE ..................................................................................................... 54
1.4. SET-CACHE-SIZE ................................................................................................. 54
1.5. SHOW-HANDLES ................................................................................................. 54
1.6. HIDE-HANDLES ................................................................................................... 54
Capítulo 4 Anexo ...............................................................................................................55
1. Puerto Reservados .............................................................................................................. 56
2. Protocolos Reservados ....................................................................................................... 57
3. Valores de Protocolos en listas “stateful” .......................................................................... 60
- iv -
Capítulo 1
Introducción
1. Listas de Control de Acceso
Los routers se sirven de listas de control de acceso (ACL) para identificar el tráfico que pasa por ellos.
Las listas de acceso pueden filtrar el flujo de paquetes o rutas que pasan por los interfaces del router.
Una lista de acceso IP es un listado secuencial de condiciones de permiso o prohibición que se aplican
a direcciones IP origen o destino, puertos origen o destino, o a protocolos IP de capa superior tales
como IP, TCP.
Pueden separar el tráfico en diferentes colas según sea su prioridad.
Tipos de listas de acceso:
Estándar(1-99): comprueban las direcciones de origen de los paquetes que solicitan
enrutamiento.
Extendidas(100-1999): comprueban tanto la dirección de origen como la de destino de cada
paquete, también pueden verificar protocolos específicos, números de puertos y otros
parámetros.
Stateful(5000-9999): comprueban tanto la dirección origen y destino del paquete como el
estado y el tipo de la sesión. Para poder configurar listas stateful debe estar habilitada la
facilidad AFS (ver manual Dm786 “AFS”).
Las listas de acceso se pueden aplicar tanto de entrada (evita la sobrecarga de router), como de salida.
Una lista de control de acceso por sí misma no supone un filtro para limitar el flujo de paquetes en el
router. Las Listas de Control de Acceso deben estar asociadas necesariamente a un protocolo. El
protocolo que utiliza una Lista de Control de Acceso, la utiliza como una herramienta que le permite
establecer filtros de tráfico. Los protocolos que permiten el manejo de Listas de Control de Acceso
incorporan comandos que permiten asociar el protocolo a dichas Listas. Los protocolos típicos que
manejan Listas de Control de Acceso son, entre otros: BRS, IPSec, Policy Routing, RIP.
Un conjunto de protocolos de especial interés son los de enrutado, entre los que destacan RIP, OSPF y
BGP. Dichos protocolos utilizan Listas de Control de Acceso, de manera directa o a través de Route
Maps (ver manual Dm764 “Route Mapping”), para controlar las rutas que se instalan en la tabla de
rutas o que se distribuyen a otros equipos. Existen además otras herramientas muy similares a las
Listas de Acceso pero orientadas especialmente al filtrado de rutas, como son las Listas de Prefijos
(ver manual Dm780 “Listas de Prefijos”).
Las Listas de Control de Acceso indican al protocolo asociado el resultado de la búsqueda dentro de
las entradas. El resultado de la búsqueda a la recepción de un paquete puede ser:
Lista de Acceso
Permitir
Encontrado
Denegar
Paquete IP
No Encontrado No Encontrado
Es el protocolo asociado el que determina lo que debe hacer con el paquete IP, a tenor del resultado de
la aplicación de la Lista de Acceso.
Cada entrada de esta lista es un bloque de sentencias y una acción, y está identificada por un único
número (el identificador o campo ID de la entrada). El bloque de sentencias esta compuesto por una
dirección IP origen (o rango de direcciones), una dirección IP destino (o rango de direcciones IP
destino), un protocolo (o rango de protocolos), puertos origen y destino (o rango de puertos), valores
del byte tipo de servicio IP, y el identificador de la conexión entre interfaces por los que viajaría el
paquete. No es necesario especificarlos todos, tan sólo el que se desee. La acción representa el
procesamiento asignado a los paquetes coincidentes con el bloque de sentencias asociado: PERMIT o
DENY.
Una lista de control de acceso genérica, extendida y stateful está formada por una serie de entradas
que definen las propiedades que debe tener un paquete para que se considere que perteneciente a esa
entrada y por consiguiente a esa lista. Después, esa lista de control de acceso se asigna a un protocolo.
Lista 1
Acción
Sentencia A
Entrada 1 Sentencia B
|
Sentencia Z
Acción
Sentencia A
Entrada 2 Sentencia B
|
Sentencia Z
Acción
Sentencia A
Entrada n Sentencia B
|
Sentencia Z
Una Lista de Control de Acceso por sí misma no supone un filtro para limitar el flujo
de paquetes en el router. Las Listas de Control de Acceso deben estar asociadas
necesariamente a un protocolo.
Las operaciones de crear, modificar o eliminar listas de acceso se hace desde un menú especifico, en el
cual a demás se permite visualizar las listas creadas.
En la estructura de configuración del router, los Controles de Acceso, están organizados como una
funcionalidad (FEATURE). Para visualizar las funcionalidades que permite configurar el router, se
debe introducir el comando feature seguido de una signo de interrogación (?).
Ejemplo:
Config>feature ?
access-lists Access generic access lists configuration
environment
bandwidth-reservation Bandwidth-Reservation configuration environment
control-access Control-access configuration environment
dns DNS configuration environment
frame-relay-switch Frame Relay Switch configuration environment
ip-discovery TIDP configuration environment
ldap LDAP configuration environment
mac-filtering Mac-filtering configuration environment
nsla Network Service Level Advisor configuration
nsm Network Service Monitor configuration environment
ntp NTP configuration environment
prefix-lists Access generic prefix lists configuration
environment
radius RADIUS protocol configuration environment
route-map Route-map configuration environment
scada-forwarder SCADA Forwarder configuration environment
sniffer Sniffer configuration environment
stun Stun facility configuration environment
syslog Syslog configuration environment
tms TMS configuration environment
vlan IEEE 802.1Q switch configuration environment
vrf VRF configuration environment
wrr-backup-wan WRR configuration environment
wrs-backup-wan WRS configuration environment
Config>
Para acceder al menú de configuración de Controles de Acceso se debe introducir, desde el menú raíz
de configuración (PROCESS 4), la palabra feature, seguida de access-lists.
Ejemplo:
Config>feature access-lists
Dentro de menú principal de configuración de Control de Acceso se permite crear y eliminar listas.
También se permite visualizar la configuración de las las listas creadas.
Una Lista de Acceso consta de una serie de entradas. Cada entrada de esta lista es un bloque de
sentencias y una acción. Cada entrada está identificada por un único número (el identificador o campo
ID de la entrada). El bloque de sentencias puede estar compuesto por una dirección IP origen (o rango
de direcciones), una dirección IP destino (o rango de direcciones IP destino), un protocolo (o rango de
protocolos), puertos origen y destino (o rango de puertos), y el identificador de la conexión entre
interfaces por los que viajaría el paquete. La acción determina el criterio que se aplica a los paquetes
IP que cumplen con la condición indicada por las sentencias. La acción puede ser de dos tipos:
incluyente (permit) o excluyente(deny).
El router permite configurar 9999 listas de acceso. Las listas de acceso cuyo identificador tenga un
valor entre 1 y 99 son Listas de Acceso Genéricas. Las listas de acceso cuyo identificador tenga un
valor entre 100 y 1999 son Listas de Acceso Extendidas. Las listas de acceso cuyo identificador tenga
un valor entre 5000 y 9999 son Listas de Acceso Stateful.
Por defecto las 9999 Listas de Acceso están vacías. Una lista de acceso está vacía cuando no contiene
entradas.
Dependiendo del tipo de lista creada (Genérica/Extendida/Stateful), la configuración de las entradas a
cada lista se hace dentro de un submenú propio de cada una de ellas, que tendrá los mismos
parámetros para todas las que son del mismo tipo. La descripción del modo de configuración de los
parámetros de estos submenús se indica en los apartados siguientes a éste.
Si alguno de los parámetros u opciones de las entradas de las Listas de Control de Acceso no se
configura, no es tenido en cuenta a la hora de realizar la comprobación de acceso.
Dentro del menú principal de Control de Acceso se dispone de los siguientes comandos:
Comando Función
? (ayuda) Lista los comandos u opciones disponibles.
access-list Configura una lista de acceso.
list Muestra la configuración de las listas de acceso.
3.1. ? (AYUDA)
Este comando se utiliza para listar los comandos válidos en el nivel donde se está programando el
router. Se puede también utilizar este comando después de un comando específico para listar las
opciones disponibles.
Sintaxis:
Access Lists config>?
Ejemplo:
Access Lists config>?
access-list Configure an access-list
list Display access-lists configuration
no Negates a command or sets its defaults
exit
Access Lists config>
3.2. ACCESS-LIST
Este comando provoca el acceso al submenú que permite configurar entradas en una lista de acceso.
Las Listas de Acceso se identifican por un valor numérico que puede tomar valore entre 1 y 9999.Por
lo tanto, el router permite configurar 9999 Listas de Acceso. Las listas de acceso cuyo identificador
tiene un valor entre 1 y 99 son Listas de Acceso Genéricas. Las listas de acceso cuyo identificador
tiene un valor entre 100 y 1999 son Listas de Acceso Extendidas. Las listas de acceso cuyo
identificador tenga un valor entre 5000 y 9999 son Listas de Acceso Stateful.
Cuando se introduce este comando seguido de un identificador, se pasa al submenú que permite
configurar la Lista de Acceso para dicho identificador, apareciendo en el nuevo prompt el tipo de Lista
de Acceso y su identificador.
Sintaxis:
Access Lists config>access-list ?
<1..99> Standard Access List number (1-99)
<100..1999> Extended Access List number (100-1999)
<5000..10000> Stateful access-list
Ejemplo:
Access Lists config>access-list 101
3.3. LIST
El comando LIST muestra la información de configuración de la facilidad Listas de Control de
Acceso. Las listas de acceso stateful no pueden ser listadas, para ver su contenido se debe ejecutar el
comando “show config”.
Sintaxis:
Access Lists config>list ?
all-access-lists Display all access-lists configuration
standard-access-lists Display standard access-lists configuration
extended-access-lists Display extended access-lists configuration
Ejemplo:
Access Lists config>list all-access-lists
1 PERMIT SRC=192.60.1.24/32
2 PERMIT SRC=0.0.0.0/0
b) LIST STANDARD-ACCESS-LISTS
Muestra las Listas de Control de Acceso de tipo General configuradas.
Sintaxis:
Access Lists config>list standard-access-lists
Ejemplo:
Access Lists config>list standard-access-lists
1 PERMIT SRC=192.60.1.24/32
2 PERMIT SRC=0.0.0.0/0
c) LIST EXTENDED-ACCESS-LISTS
Muestra las Listas de Control de Acceso de tipo Extendido configuradas.
Sintaxis:
Access Lists config>list extended-access-lists
Ejemplo:
Access Lists config>list extended-access-lists
a) NO ACCESS-LIST
Elimina el contenido de una Lista de Control de Acceso.
Sintaxis:
Access Lists config>no access-list <ID>
Ejemplo:
Access Lists config>no access-list 100
Access Lists config>
3.5. EXIT
Sale del entorno de configuración de la facilidad de Controles de Acceso. Retorna al prompt de
configuración general.
Sintaxis:
Access Lists config>exit
Ejemplo:
Access Lists config>exit
Config>
A este menú se accede cuando se edita una Lista de Control de Acceso cuyo identificador está entre el
valor 1 y 99, es decir se trata de una Lista Genérica.
En el prompt del nuevo submenú se indica que la lista es de tipo Genérica (Standard) y su
Identificador.
Ejemplo:
Access Lists config>access-list 1
Comando Función
? (ayuda) Lista los comandos u opciones disponibles.
entry Configura una entrada dentro de una Lista de Control de
Acceso.
list Muestra la configuración de las listas de acceso.
move-entry Cambiar el orden de las entradas.
description Permite insertar una descripción textual de una Lista de
Control de Acceso.
no Niega un comando o pone su valor por defecto.
4.1. ? (AYUDA)
Este comando se utiliza para listar los comandos válidos en el nivel donde se está programando el
router. Se puede también utilizar este comando después de un comando específico para listar las
opciones disponibles.
Sintaxis:
Standard Access List #>?
Ejemplo:
Standard Access List 1>?
entry Configure an entry for this access-list
list Display this access-list configuration
move-entry move an entry within an access-list
description Configure a description for this access-list
no Negates a command or sets its defaults
exit
Standard Access List 1>
4.2. ENTRY
Permite crear y modificar una entrada o elemento dentro de una Lista de Control de Acceso.
Con el objetivo de comprobar que el usuario entiende los conceptos referentes a la configuración de
máscaras comodín, se requiere que las posiciones de los bits de la máscara cuyo valor sea 0 estén
también a 0 en la dirección. En caso contrario, el equipo da un error y propone una sugerencia de
dirección adaptada a la máscara proporcionada (que el usuario debe valorar para determinar si se
corresponde con la configuración deseada).
Así, por ejemplo, si se intenta introducir en el comando la dirección 172.24.155.130 con la máscara
255.255.254.255, el equipo da un error, ya que en el tercer octeto de la máscara (254), el último bit no
4.3. LIST
El comando LIST muestra la información de configuración de la Listas de Control de Acceso que está
siendo editada, es decir, la que su identificador está indicado en el prompt del menú.
Sintaxis:
Standard Access List #>list ?
all-entries Display any entry of this access-list
address-filter-entries Display the entries that match an ip address
entry Display one entry of this access-list
Ejemplo:
Standard Access List 1>list all-entries
2 PERMIT SRC=0.0.0.0/0
b) LIST ADDRESS-FILTER-ENTRIES
Muestra las entradas de configuración de la Listas de Control de Acceso que contienen una
determinada dirección IP.
Sintaxis:
Standard Access List #>list address-filter-entries <dirección> <subred>
Ejemplo:
Standard Access List 1>list address-filter-entries 192.60.1.24 255.255.255.255
c) LIST ENTRY
Muestra una entrada de configuración de la Listas de Control de Acceso, cuyo identificador se indica a
continuación del comando.
Sintaxis:
Standard Access List #>list entry <id>
Ejemplo:
Standard Access List 1>list entry 1
4.4. MOVE-ENTRY
Modifica la prioridad de una entrada. Esta opción permite colocar una entrada determinada delante de
otra que se indica, dentro de la Lista de Control de Acceso.
El comando se introduce, seguido del identificador de la entrada que se quiere modificar, y a
continuación se introduce el identificador de la posición por delante de la cual se desea colocar la
Ejemplo:
Standard Access List 1>list all-entries
1 DENY SRC=0.0.0.0/0
2 PERMIT SRC=234.233.44.33/32
3 PERMIT SRC=192.23.0.22/255.255.0.255
2 PERMIT SRC=234.233.44.33/32
3 PERMIT SRC=192.23.0.22/255.255.0.255
1 DENY SRC=0.0.0.0/0
4.5. DESCRIPTION
Este comando se utiliza para insertar una descripción textual sobre la lista de acceso, que nos permita
más tarde entender mejor su propósito o función.
Sintaxis:
Standard Access List #>description ?
<1..64 chars> Description text
Ejemplo:
Standard Access List 1>description “lista para ipsec”
Standard Access List 1>list all
4.6. NO
Este comando se utiliza para deshabilitar funcionalidades o para poner valores por defectos en algunos
parámetros.
Sintaxis:
Standard Access List #>no ?
entry Configure an entry for this access-list
description Configure a description for this access-list
Ejemplo:
Standard Access List 1>no entry 3
Standard Access List 1>
b) NO DESCRIPTION
Elimina la descripción textual asociada a la Lista de Control de Acceso.
Sintaxis:
Standard Access List #>no description
Ejemplo:
Standard Access List 1>no description
Standard Access List 1>
4.7. EXIT
Sale del entorno de configuración de una lista de Control de Acceso General. Retorna al prompt del
menú principal de Control de Acceso.
Sintaxis:
Standard Access List #>exit
Ejemplo:
Standard Access List 1>exit
Access Lists config>
A este menú se accede cuando se edita una Lista de Control de Acceso cuyo identificador está entre el
valor 100 y 1999, es decir se trata de una Lista Extendida.
En el prompt del nuevo submenú se indica que la lista es de tipo Extendida (Extended) y su
identificador.
Ejemplo:
Access Lists config>access-list 100
Comando Función
? (ayuda) Lista los comandos u opciones disponibles.
entry Configura una entrada para esta Lista de Acceso.
list Muestra la configuración de las listas de acceso.
move-entry Cambiar el orden de las entradas.
description Permite insertar una descripción textual de una Lista de
Control de Acceso.
no Niega un comando o pone su valor por defecto.
5.1. ? (AYUDA)
Este comando se utiliza para listar los comandos válidos en el nivel donde se está programando el
router. Se puede también utilizar este comando después de un comando específico para listar las
opciones disponibles.
Sintaxis:
Extended Access List #>?
Ejemplo:
Extended Access List 100>?
entry Configure an entry for this access-list
list Display this access-list configuration
move-entry move an entry within an access-list
description Configure a description for this access-list
no Negates a command or sets its defaults
exit
Extended Access List 100>
5.2. ENTRY
Permite crear y modificar una entrada o elemento dentro de una List de Control de Acceso.
Este comando se debe introducir siempre seguido del identificador del número de registro de una
sentencia.
Esta entrada concuerda con todos los paquetes TCP o UDP cuyo puerto origen esté comprendido entre
2 y 4 (ambos inclusive).
Ejemplo 2:
Extended Access List 100>entry 3 protocol icmp
Extended Access List 100>entry 3 source port-range 3 3
Extended Access List 100>
Esta entrada concuerda con todos los paquetes ICMP de tipo 3 (destination unreachable), sea cual sea
su código.
e) ENTRY <id> DESTINATION
Establece la sentencia de parámetros IP en el direccionamiento ‘destino’ de los mensajes.
Sintaxis:
Extended Access List #>entry <id> destination <parámetro> [opciones]
Las opciones que se pueden introducir en la sentencia destino de IP son las siguientes:
Extended Access List #>entry <id> destination ?
address IP address and mask of the source subnet
port-range source port range
Con el objetivo de comprobar que el usuario entiende los conceptos referentes a la configuración de
máscaras comodín, se requiere que las posiciones de los bits de la máscara cuyo valor sea 0 estén
también a 0 en la dirección. En caso contrario, el equipo da un error y propone una sugerencia de
dirección adaptada a la máscara proporcionada (que el usuario debe valorar para determinar si se
corresponde con la configuración deseada).
Así, por ejemplo, si se intenta introducir en el comando la dirección 172.24.155.130 con la máscara
255.255.254.255, el equipo da un error, ya que en el tercer octeto de la máscara (254), el último bit no
se corresponde con su homólogo en la dirección (155). En este caso el equipo da como sugerencia la
dirección 172.24.154.130.
Esta entrada concuerda con todos los paquetes ICMP de tipo 3 (destination unreachable), y con código
comprendido entre 1 y 5 (ambos inclusive).
f) ENTRY <id> PROTOCOL
Establece la sentencia del protocolo del paquete IP. Este comando debe ir seguido del número de
protocolo (un valor entre 0 y 255) o bien del nombre del mismo. Si se especifica protocolo IP se
admitirá cualquier protocolo.
Este comando tiene la finalidad de poder permitir o no el acceso a distintos protocolos.
Sintaxis:
Extended Access List #>entry <id> tcp-specific established-state
Ejemplo:
La configuración siguiente muestra una lista de acceso en la que encajarán todas las sesiones TCP
establecidas en la entrada 1.
entry 1 default
entry 1 permit
entry 1 protocol tcp
entry 1 tcp-specific established-state
Esto identifica una conexión concreta, entre una dirección local del router y un extremo (el resto de
parámetros no se consideran). Definimos entonces una entrada en la Lista de Control de Acceso, con
el identificador de esta conexión ( 1 ) como sentencia:
Extended Access List 100>entry 10 connection 1
5.3. LIST
El comando LIST muestra la información de configuración de la Listas de Control de Acceso que está
siendo editada, es decir, la que su identificador está indicado en el prompt del menú.
Sintaxis:
Extended Access List #>list ?
all-entries Display any entry of this access-list
address-filter-entries Display the entries that match an ip address
entry Display one entry of this access-list
a) LIST ALL-ENTRIES
Muestra todas las entrada de configuración de la Listas de Control de Acceso, es decir, toda la
configuración de la misma.
Sintaxis:
Extended Access List #>list all-entries
Ejemplo:
Extended Access List 100>list all-entries
b) LIST ADDRESS-FILTER-ENTRIES
Muestra las entrada de configuración de la Listas de Control de Acceso que contienen una determinada
dirección IP.
Sintaxis:
Extended Access List #>list address-filter-entries <dirección> <subred>
Ejemplo:
Extended Access List 100>list address-filter-entries 172.25.54.33 255.255.255.255
c) LIST ENTRY
Muestra una entrada de configuración de la Listas de Control de Acceso, cuyo identificador se indica a
continuación del comando.
Sintaxis:
Extended Access List #>list entry <id>
Ejemplo:
Extended Access List 100>list entry 1
5.4. MOVE-ENTRY
Modifica la prioridad de una entrada. Esta opción permite colocar una entrada determinada delante de
otra que se indica, dentro de la Lista de Control de Acceso.
El comando se introduce, seguido del identificador de la entrada que se quiere modificar, y a
continuación se introduce el identificador de la posición por delante de la cual se desea colocar la
entrada. Cuando una entrada se quiere poner al final de lista, es decir, que se la de menor prioridad, se
debe especificar la opción end
Sintaxis:
Extended Access List #>move-entry <entrada_a_mover> {<entrada_destino> | end}
Ejemplo:
Extended Access List 100>list all-entries
5.5. DESCRIPTION
Este comando se utiliza para insertar una descripción textual sobre la lista de acceso, que nos permita
más tarde entender mejor su propósito o función.
Sintaxis:
Extended Access List #>description ?
<1..64 chars> Description text
Ejemplo:
Extended Access List 1>description “lista para ipsec”
Extended Access List 1>list all
5.6. NO
Este comando se utiliza para deshabilitar funcionalidades o para poner valores por defectos en algunos
parámetros.
Sintaxis:
Extended Access List #>no ?
entry Configure an entry for this access-list
description Configure a description for this access-list
a) NO ENTRY
Elimina una entrada de la Lista de Control de Acceso. Se debe introducir el identificador de la lista
que se desea eliminar.
b) NO DESCRIPTION
Elimina la descripción textual asociada a la Lista de Control de Acceso.
Sintaxis:
Extended Access List #>no description
Ejemplo:
Extended Access List 100>no description
Extended Access List 100>
5.7. EXIT
Sale del entorno de configuración de una lista de Control de Acceso General. Retorna al prompt del
menú principal de Control de Acceso.
Sintaxis:
Extended Access List #>exit
Ejemplo:
Extended Access List 100>exit
Access Lists config>
A este menú se accede cuando se edita una Lista de Control de Acceso cuyo identificador está entre
los valores 5000 y 9999, es decir se trata de una Lista Stateful.
En el prompt del nuevo submenú se indica que la lista es de tipo Stateful y su identificador.
Ejemplo:
Access Lists config>access-list 5001
Como se ha comentado anteriormente, para poder configurar estas listas de acceso debe estar
habilitada la facilidad AFS, y hay que tener en cuenta que si se realiza algún cambio dinámico
mientras la sesión está activa, si se observa que no tiene efecto dicho cambio, es necesario finalizar la
sesión. Para ello se debe deshabilitar y habilitar la facilidad AFS con lo comandos “NO ENABLE” y
“ENABLE” del menú de configuración de AFS (ver manual Dm786 “AFS”).
Comando Función
? (ayuda) Lista los comandos u opciones disponibles.
entry Configura una entrada para esta Lista de Acceso.
no Niega un comando o pone su valor por defecto.
6.1. ? (AYUDA)
Este comando se utiliza para listar los comandos válidos en el nivel donde se está programando el
router. Se puede también utilizar este comando después de un comando específico para listar las
opciones disponibles.
Sintaxis:
Stateful Access List #>?
Ejemplo:
Stateful Access List 100>?
entry Configure an entry for this access-list
no Negates a command or sets its defaults
exit
Stateful Access List 100>
6.2. ENTRY
Permite crear y modificar una entrada o elemento dentro de una List de Control de Acceso.
Este comando se debe introducir siempre seguido del identificador del número de registro de una
sentencia.
Se crea una nueva entrada cada vez que se introduce este comando, seguido de un identificador que no
está en la lista. Cuando se introduce un identificador que ya existe, se agrega una nueva entrada a
dicho identificador.
Esto puede ser de mucha utilidad cuando se desea que encajen paquetes que no cumplen varios
criterios simultáneamente, como en el siguiente ejemplo, que se desea que la dirección destino y el
puerto udp destino no sean ningunos de los indicados:
entry 15 default
entry 15 deny
entry 15 description "RemoteToIP. Entre VPNs 41000 en lugar de no rtp"
entry 15 source address 172.24.100.160 mask 255.255.255.224
entry 15 no destination udp port 50001
entry 15 no destination udp port 1967
entry 15 no destination address 172.24.0.25
entry 15 no destination address 172.24.0.201
entry 15 no destination address 172.24.0.202
entry 15 no destination address 172.25.0.0 mask 255.255.0.0
entry 15 no destination udp port 41000 41010
entry 15 no rtp
entry 15 no destination tcp port 6890 6899
entry 15 no source tcp port 6890 6899
Sintaxis:
Stateful Access List #>entry <id> <parámetro> [valor]
Las opciones de configuración de una entrada Stateful son las siguientes:
Stateful Access List 100>entry 1 ?
default Set default values
deny Deny this entry
description Entry description
destination Destination match criterias
hex-string Search an specific hexadecimal string
in-interface Match an incoming interface
ipsec IPSEC match criterias
label Label for classification
length-interval Define a datagram length interval to match to
no Negate the following match criteria
out-interface Match an outgoing interface
permit Permit this entry
protocol IP protocol matching options
protocol-range Specify a protocol range
peer2peer Match peer to peer traffic
rate-limit Match an specific rate limit in kbps
conn-limit Match an specific connection limit
tcp-flags Match an specific tcp flag
rtp Match any RTP packet flow
session Define a session control match
session-mark Mark the session with an specific tag
source Source match criterias
string Search an specific string
http-filter Filter urls/contents containted in http
webstr Filter urls/hosts in http sessions
weburl Filter urls in http sessions
l) ENTRY <id> NO
Si se selecciona la opción no delante del criterio de selección se considera que un paquete encaja si
NO cumple el criterio de selección que sigue a la particula no.
Sintaxis:
Stateful Access List #>entry <id> no <criteria>
Ejemplo:
Stateful Access List 5000> entry 1 no length-interval 1000 1500
Stateful Access List 5000>
Algunos de los protocolos seleccionados pueden admitir subopciones, por ejemplo, peer2peer.
Ejemplo:
Stateful Access List 5000> entry 1 protocol peer2peer all
Stateful Access List 5000>
Sintaxis:
Stateful Access List #>entry <id> tcp-flags <flags> <mask>
Ejemplo:
Stateful Access List #>entry <id> tcp-flags 2 2
Stateful Access List 5000>
Sintaxis:
Stateful Access List #>entry <id> source address <ip> [mask <mask>]
Stateful Access List #>entry <id> source address [range] <iplow> <iphigh>
Ejemplo:
Stateful Access List 5000>entry 1 source address 2.2.2.0 mask 255.255.255.0
Stateful Access List 5000>
Ejemplo:
Stateful Access List 5000>entry 1 source address range 2.2.2.1 2.2.2.100
Stateful Access List 5000>
[<config>]
refresh-interval = 3600
[<template>]
<html>
<head>
<title>Teldat Filtering Acceso denegado</title>
<meta http-equiv="content-type" content="text/html; charset=utf-8">
</head>
<body bgcolor=#FFFFFF>
<center>
<table border=0 cellspacing=0 cellpadding=2 height=540 width=700>
<tr>
<td colspan=2 bgcolor=#FEA700 height=100 align=center>
<font face=arial,helvetica size=6>
<b>Acceso denegado!</b>
</td>
</tr>
<tr>
<td colspan=2 bgcolor=#FFFACD height=30 align=right>
<font face=arial,helvetica size=3 color=black>
</td>
</tr>
<tr>
<td width=550 bgcolor=#FFFFFF align=center valign=center>
<font face=arial,helvetica color=black>
<font size=4>
[<urls>]
www.marca.com
www.sport.es
198.66.198.103
198.66.198.55
[<words>]
sexo
[<white-urls>]
www.elpais.es
1.- En primer lugar, si se desea, se puede configurar el intervalo de actualización del archivo, es decir,
el tiempo que debe transcurrir para que el equipo solicite de nuevo al servidor el archivo. Para ello hay
que introducir la etiqueta [<config>], y en la línea siguiente el valor deseado para el intervalo de
actualización, en este ejemplo, el equipo solicita el archivo cada hora (3600 segundos). Si no se
especifica ningún valor, el intervalo de actualización es de 1 día por defecto.
2.- A continuación, se puede introducir la página http de error que se desea mostrar en caso de que se
haya intentado acceder a una página no deseada. Para ello hay que introducirla a continuación de la
etiqueta [<template>].
3.- Por último se debe introducir la configuración para realizar el filtrado de las páginas Web, ya sea
por su contenido o por su dirección url. Para ello se pueden introducir:
- la lista de direcciones urls (o direcciones IP) de las páginas que se consideran que contienen
contenido no deseado, a continuación de la etiqueta [<urls>].
- la lista de palabras consideradas como contenido no deseado, a continuación de la etiqueta
[<words>].
- la lista de dirección urls de las páginas que se consideran de confianza, es decir, de las que no
se va a buscar en su contenido por si contienen las palabras no deseadas, a continuación de la
etiqueta [<white-urls>].
Hay que tener en cuenta que para que el filtrado por contenido funcione, el contenido
de la página solicitada no puede estar codificado; para asegurarse de que esto no
ocurre se puede utilizar el comando “http force-identity-encoding” de NAT (ver
manual Dm788 “Nuevo Protocolo NAT”).
6.3. NO
Este comando se utiliza para deshabilitar funcionalidades o para poner valores por defectos en algunos
parámetros.
Sintaxis:
Stateful Access List #>no ?
entry Configure an entry for this access-list
a) NO ENTRY
Elimina una entrada de la Lista de Control de Acceso. Se debe introducir el identificador de la lista
que se desea eliminar.
Sintaxis:
Stateful Access List #>no entry <id>
Ejemplo:
Stateful Access List 5000>no entry 3
Stateful Access List 50000>
Show Config es una herramienta de la consola de configuración (PROCESS 4), que permite listar los
comandos necesarios para configurar el router a partir de una configuración vacía (no conf).
Este comando se puede utilizar, tanto para copiar configuraciones, como para listarlas, o simplemente
para visualizarlas.
Show Config parte de la configuración definida internamente por defecto, generando los comandos de
la parte de configuración que difiere de ésta.
Show Config puede incorporar comentarios, que van después de punto y coma (‘;’).
El comando se puede ejecutar desde cualquier menú, mostrando la configuración introducida en todos
los submenús que cuelgan del actual.
Ejemplo:
Access Lists config>show conf
; Showing Menu and Submenus Configuration ...
; C3G IPSec Router 1 29 Version 10.1.xPA
access-list 1
;
entry 1 default
entry 1 permit
entry 1 source address 192.60.1.24 255.255.255.255
;
entry 2 default
entry 2 permit
;
exit
;
access-list 100
;
entry 1 default
entry 1 permit
entry 1 source address 172.34.53.23 255.255.255.255
entry 1 protocol-range 10 255
;
entry 2 default
entry 2 deny
;
exit
;
Access Lists config>
Con la lista de comandos obtenidos en el show config se puede copiar, editar, modificándola, de
manera que puede servir como plantilla para posteriores configuraciones.
Se trata de crear una nueva red privada virtual (VPN) entre el Host A y el Host B. El resto del tráfico
entre las redes privadas se deja pasar de modo normal. Crearemos un Túnel IPSec entre ambos Host.
Para ello en primer lugar se debe crear la Lista de Control de Acceso que utiliza IPSec como filtro de
tráfico. En este ejemplo solamente se muestra cómo se hace la configuración de las Listas de Acceso y
la asociación del Túnel IPSec a la misma.
HOST A HOST B
172.24.51.57 172.60.1.163
200.200.200.1 200.200.200.2
Red Privada 1 Red Pública Red Privada 2
Router 1 Router 2
Config>feature access-lists
Y con el comando SHOW CONFIG puede mostrarse la configuración y ser utilizada en otra ocasión
introduciendo ésta en la consola tal y como aparece:
entry 1 default
entry 1 permit
entry 1 source address 172.24.51.57 255.255.255.255
entry 1 destination address 172.60.1.163 255.255.255.255
;
Extended Access List 101>
Config>feature access-lists
Y con el comando SHOW CONFIG puede mostrarse la configuración y ser utilizada en otra ocasión
introduciendo ésta en la consola tal y como aparece:
entry 1 default
entry 1 permit
entry 1 source address 172.60.1.163 255.255.255.255
entry 1 destination address 172.24.51.57 255.255.255.255
;
Extended Access List 101>
Y con el comando SHOW CONFIG puede mostrarse la configuración y ser utilizada en otra ocasión
introduciendo ésta en la consola tal y como aparece:
assign-access-list 101
;
template 2 default
template 2 manual esp des md5
;
map-template 101 2
IPSec config>
En esta sección se detallan los comandos que permiten utilizar las herramientas de monitorización de
la facilidad de Listas de Control de Acceso. Para poder introducir estos comandos es necesario acceder
al prompt de monitorización de la facilidad de Listas de Acceso.
Para acceder al entorno de monitorización de la facilidad de Listas de Acceso, se debe introducir el
comando FEATURE ACCESS-LISTS en el prompt de monitorización general (+).
Ejemplo:
+ feature access-lists
-- Access Lists user console --
Access Lists+
El router dispone de una caché que mantiene las últimas direcciones encontradas, con el fin de que el
periodo de búsqueda dentro de las Lista de Acceso se minimice. En los listados se indica las entradas
de cada Lista que están introducidas en la caché.
Dentro del entorno de monitorización de la facilidad de Lista de Control de Acceso se dispone de los
siguientes comandos:
Comando Función
? (AYUDA) Lista los comandos u opciones disponibles.
LIST Muestra la configuración de las listas de acceso.
CLEAR-CACHE Borra todas las entradas en la caché de Listas de Acceso.
SET-CACHE-SIZE Configura el número disponible de entradas de caché.
SHOW-HANDLES Al listar presenta los manejadores asociados.
HIDE-HANDLES Al listar oculta los manejadores asociados.
1.1. ? (AYUDA)
Este comando se utiliza para listar los comandos válidos en el nivel donde se está programando el
router. Se puede también utilizar este comando después de un comando específico para listar las
opciones disponibles.
Sintaxis:
Access Lists+?
Ejemplo:
Access Lists+?
list Displays the access lists configuration
clear-cache Deletes all the entries in an access lists cache
set-cache-size Configures the available number of cache entries
show-handles Makes the associated handles to be shown when listing
hide-handles Makes the associated handles to stay hidden when listing
exit Exit to parent menu
Access Lists+
a) LIST ALL
Muestra todas las entradas de configuración de las Listas de Control de Acceso, es decir, toda la
configuración de la misma. Se presentan las entradas configuradas y las que están dentro de la caché.
Este comando debe ir seguido de otros que permiten especificar con más detalle la información a
mostrar. Las listas de acceso stateful no pueden ser listadas, por lo que no aparecen al ejecutar este
comando.
Sintaxis:
Access Lists+list all ?
all-access-lists Displays information for all active access
lists
address-filter-access-lists Displays information for access lists that
match an address search pattern
access-list Displays information for a specified access
list
1 DENY SRC=192.23.0.22/255.255.0.255
Hits: 0
Access Lists+
Access Lists+
b) LIST CACHE
Muestra todas las Listas de Control de Acceso configuradas, y dentro de cada una de ellas, muestra las
entradas que están en la caché. Este comando debe ir seguido de otros que permiten especificar con
más detalle la información a mostrar. Con este comando solamente se presenta la información de las
entradas que están en la caché.
Sintaxis:
Access Lists+list cache ?
all-access-lists Displays information for all active access
lists
address-filter-access-lists Displays information for access lists that
match an address search pattern
access-list Displays information for a specified access
list
Access Lists+
Access Lists+
Access Lists+
c) LIST ENTRIES
Muestra las entradas de las Listas de Control de Acceso que están en la configuración activa. Este
comando debe ir seguido de otros que permiten especificar con más detalle la información a mostrar.
Con este comando no se presenta la información de las entradas que están en la caché.
Sintaxis:
Access Lists+list entries ?
all-access-lists Displays information for all active access
lists
address-filter-access-lists Displays information for access lists that
match an address search pattern
access-list Displays information for a specified access
list
1 DENY SRC=192.23.0.22/255.255.0.255
Hits: 0
Access Lists+
Access Lists+
1.3. CLEAR-CACHE
Elimina todas las entradas de una Lista de Control de Acceso concreta de la caché que procesa las
Listas de Control de Acceso.
Sintaxis:
Access Lists+clear-cache <id>
Ejemplo:
Access Lists+clear-cache 100
Cache cleared.
Access Lists+
1.4. SET-CACHE-SIZE
Permite configurar el tamaño de la caché para una Lista de Control de Acceso. El tamaño está definido
por el número de entradas que permite la caché.
Sintaxis:
Access Lists+set-cache-size <id> <tamaño>
Ejemplo:
Access Lists+set-cache-size 100 33
Cache cleared.
Access Lists+
1.5. SHOW-HANDLES
Al introducir este comando, en entre los datos presentados con el comando LIST, aparece información
para depuración en cada entrada.
1.6. HIDE-HANDLES
Al introducir este comando se deshabilita que, entre los datos presentados con el comando LIST,
aparezca información para depuración en cada entrada.
En los protocolos de nivel de transporte TCP y UDP, ampliamente utilizados sobre IP versión 4 (IPv4)
[RFC791], existe un campo denominado “puerto”. Dicho campo consta de 16 bits.
Los puertos son usados por TCP para nombrar los extremos de una conexión lógica en la cual se
mantiene una conversación. Con el propósito de proporcionar servicios a llamantes desconocidos, se
define un puerto de contacto para dicho servicio. Por ello, existe una lista que asigna números de
puertos predeterminados a servicios concretos.
Para posibles ampliaciones, esta misma asignación de puertos se utiliza con UDP.
Los números de puertos están divididos en tres rangos:
- Reservados (0-1023)
- Registrados (1024-49151)
- Dinámicos o privados (49152-65535)
En IP versión 4 (IPv4) [RFC791], hay un campo denominado protocolo, el cual identifica el siguiente
nivel de protocolo. El campo protocolo consta de 8 bits. En IP versión 6 (IPv6) [RFC1883] este campo
se denomina “Next Header”.
Asignación de números de Protocolos de Internet:
En algunos comandos de configuración de las listas stateful se hace refencia al valor de protocolo.
Estos son los valores permitidos.
3com-amp3 3Com AMP3
acap ACAP
agentx AgentX
alpes Alpes
aminet AMInet
an Active Networks
anet ATEXSSTR
ansatrader ansatrader
aodv AODV
appleqtcsrvr appleqtcsrvr
applix Applix ac
arcisdms arcisdms
argus ARGUS
ariel1 Ariel1
ariel2 Ariel2
ariel3 Ariel3
aris ARIS
asa-appl-proto asa-appl-proto
asipregistry asipregistry
avian avian
banyan-rpc banyan-rpc
banyan-vip banyan-vip
bgmp BGMP
bgs-nsi bgs-nsi
bhevent bhevent
bhfhs bhfhs
bhmds bhmds
bmpp bmpp
bna BNA
bnet bnet
borland-dsj borland-dsj
cadlock cadlock
cbt CBT
cfdptkt cfdptkt
cftp CFTP
chaos Chaos
chshell chcmd
cimplex cimplex
cloanto-net-1 cloanto-net-1
codaauth2 codaauth2
collaborator collaborator
commerce commerce
comscm comscm
con con
conference chat
contentserver contentserver
corerjd corerjd
courier rpc
creativepartnr creativepartnr
creativeserver creativeserver
crs crs
cvc_hostd cvc_hostd
cybercash cybercash
cycleserv cycleserv
cycleserv2 cycleserv2
dantz dantz
dasp dasp
datex-asn datex-asn
dctp dctp
decap decap
decbsrv decbsrv
decvms-sysmgt decvms-sysmgt
dec_dlm dec_dlm
dei-icda dei-icda
device device
dhcp-failover2 dhcp-failover2
digital-vrc digital-vrc
directplay DirectPlay
directplay8 DirectPlay8
discard Discard
dna-cml DNA-CML
doom Doom
dpsi dpsi
dsfgw dsfgw
dtag-ste-sb DTAG
dtk dtk
dwr dwr
emcon EMCON
entrust-aaas entrust-aaas
entrust-aams entrust-aams
entrust-sps entrust-sps
escp-ip escp-ip
fc Fibre Channel
fire FIRE
gdomap gdomap
genrad-mux genrad-mux
ggp Gateway-to-Gateway
ginad ginad
gmtp GMTP
go-login go-login
gopher Gopher
graphics Graphics
groove groove
gss-http gss-http
ha-cluster ha-cluster
hap hap
hassle hassle
hdap hdap
hello-port HELLO_PORT
hems hems
http-mgmt http-mgmt
hybrid-pop hybrid-pop
hyper-g hyper-g
hyperwave-isp hyperwave-isp
iafdbase iafdbase
iafserver iafserver
iasd iasd
idfp idfp
ieee-mms ieee-mms
ieee-mms-ssl ieee-mms-ssl
iiop iiop
il IL Transport Protocol
inbusiness inbusiness
infoseek InfoSeek
intecourier intecourier
intrinsa intrinsa
ipcd ipcd
ipdd ipdd
ipinip IP in IP
iplt IPLT
ipx-in-ip IPX in IP
irc-serv IRC-SERV
iso-ip iso-ip
iso-tp0 iso-tp0
itm-mcell-s itm-mcell-s
jargon Jargon
k-block k-block
kali kali
klogin KLogin
kpasswd kpasswd
kryptolan kryptolan
kshell KShell
lanserver lanserver
leaf-1 Leaf-1
leaf-2 Leaf-2
ljk-login ljk-login
lockd LockD
magenta-logic magenta-logic
mailbox-lm mailbox-lm
mailq MAILQ
maitrd maitrd
masqdialer masqdialer
mcns-sec mcns-sec
mdc-portmapper mdc-portmapper
mecomm mecomm
meregister meregister
meta5 meta5
metagram metagram
meter meter
mftp mftp
micom-pfs micom-pfs
micromuse-lm micromuse-lm
mobile IP Mobility
mobileip-agent mobileip-agent
mobilip-mn mobilip-mn
mondex mondex
monitor monitor
mortgageware mortgageware
mpls-in-ip MPLS-in-IP
mrm mrm
ms-sql-m Microsoft-SQL-Monitor
msdp msdp
msg-auth msg-auth
msg-icp msg-icp
msnp msnp
mux Multiplexing
mylex-mapd mylex-mapd
mysql MySQL
namp namp
nced nced
ncld ncld
ncp NCP
ndsauth NDSAUTH
nest-protocol nest-protocol
net-assistant net-assistant
netgw netgw
netnews readnews
netsc-dev NETSC
netsc-prod NETSC
ni-ftp NI FTP
ni-mail NI MAIL
nicname Who Is
nlogin nlogin
nmap nmap
nnsp nnsp
npmp-gui npmp-gui
npmp-local npmp-local
npmp-trap npmp-trap
nqs nqs
ns ns
nsfnet-igp NSFNET-IGP
nss-routing NSS-Routing
ntalk ntalk
nxedit nxedit
obex obex
ocbinder ocbinder
ocserver ocserver
ocs_amu ocs_amu
ocs_cmu ocs_cmu
odmr odmr
ohimsrv ohimsrv
olsr olsr
omginitialrefs omginitialrefs
omserv omserv
onmux onmux
opalis-rdv opalis-rdv
opalis-robot opalis-robot
openport openport
openvms-sysipc openvms-sysipc
oraclenames oraclenames
passgo passgo
passgo-tivoli passgo-tivoli
personal-link personal-link
pftp pftp
phonebook Phone
photuris photuris
pim-rp-disc PIM-RP-DISC
pip pip
pirp pirp
pkix-timestamp pkix-timestamp
pov-ray pov-ray
printer Printer
pump pump
pup PUP
purenoise purenoise
qbikgdp qbikgdp
qmqp qmqp
qnx QNX
qrh qrh
quotad quotad
rda rda
remote-kis remote-kis
repcmd repcmd
repscmd repscmd
rescap rescap
ripng ripng
ris Intergraph
rlzdbase rlzdbase
rmc rmc
rmiactivation rmiactivation
rmiregistry rmiregistry
rmonitor rmonitord
rpc2portmap rpc2portmap
rrh rrh
rsvd rsvd
rsvp-e2e-ignore RSVP-E2E-IGNORE
rsvp-e2e-ignore RSVP-E2E-IGNORE
rsvp_tunnel rsvp_tunnel
rsync rsync
rtip rtip
rtsps RTSPS
rushd rushd
sanity sanity
scc-security scc-security
scohelp scohelp
scoi2odialog scoi2odialog
scps SCPS
scx-proxy scx-proxy
sdnskmp SDNSKMP
secure-vmtp SECURE-VMTP
semantix semantix
send SEND
sgcp sgcp
sgmp sgmp
sgmp-traps sgmp-traps
shockwave Shockwave
shrinkwrap shrinkwrap
siam siam
silc silc
sitaradir sitaradir
sitaramgmt sitaramgmt
sitaraserver sitaraserver
skip SKIP
skronk skronk
sm SM
smakynet smakynet
smartsdp smartsdp
smpnameres smpnameres
smsd smsd
smux SMUX
snare snare
sonar sonar
spmp spmp
spsc spsc
sql-net SQL-NET
srssend srssend
ss7ns ss7ns
sscopmce SSCOPMCE
sshell SSLshell
sst SCSI on ST
st Stream
stmf stmf
streettalk streettalk
submission submission
subntbcst_tftp subntbcst_tftp
sun-dr sun-dr
supdup SUPDUP
surf surf
talk talk
tcf TCF
teedtap teedtap
tell send
tempo newdate
tenfold tenfold
timbuktu Timbuktu
time Time
timed timeserver
tinc tinc
tlisrv oracle
tn-tl-fd1 tn-tl-fd1
tns-cml tns-cml
tpip tpip
trunk-1 Trunk-1
trunk-2 Trunk-2
ttp TTP
udplite UDPLite
uis uis
ulp ulp
ulpnet ulpnet
unify Unify
uti UTI
utime unixtime
utmpcd utmpcd
utmpsd utmpsd
uucp uucpd
uucp-rlogin uucp-rlogin
uuidgen UUIDGEN
vacdsm-app VACDSM-APP
vacdsm-sws VACDSM-SWS
vemmi vemmi
vid vid
videotex videotex
vmnet vmnet
vmpwscs vmpwscs
vmtp VMTP
vnas vnas
vpps-qua vpps-qua
vpps-via vpps-via
vsinet vsinet
vslmp vslmp
webster webster
whoami whoami
whois++ Whois++
wpgs wpgs
xact-backup xact-backup
xns-courier Xerox
xtp XTP
xvttp xvttp
xyplex-mux Xyplex
zannet zannet