1. Acao e protocolo

2. Origem e destino

3. Presets rapidos

Gerador ACL: regras de firewall prontas para Cisco, iptables e nftables

O gerador ACL resolve um problema operacional comum: traduzir uma regra logica em tres sintaxes diferentes ao mesmo tempo. Voce define a acao (permit/deny), origem, destino, porta e protocolo, e a ferramenta devolve o comando exato para Cisco IOS (access-list extended), iptables (Linux kernel netfilter) e nftables (sucessor moderno do iptables), prontos para colar no terminal ou em um script de provisionamento.

O que e uma ACL

ACL (Access Control List) e uma lista sequencial de regras que o roteador ou firewall aplica em cada pacote que atravessa uma interface. Cada regra contem criterios de match (IP de origem, IP de destino, protocolo, porta) e uma acao (permit ou deny). O dispositivo processa as regras de cima para baixo e para na primeira que casa. No final de toda ACL existe um implicit deny invisivel que bloqueia qualquer trafego nao explicitamente permitido.

Cisco IOS: standard vs extended

No mundo Cisco, ACLs numeradas se dividem em duas familias. Standard ACLs (numeros 1-99 e 1300-1999) filtram apenas pelo IP de origem. Extended ACLs (100-199 e 2000-2699) filtram por origem, destino, protocolo e porta, e sao o padrao moderno para qualquer politica nao trivial. A sintaxe que o gerador produz e a extended: access-list 101 permit tcp 10.0.0.0 0.0.0.255 any eq 443. Note que Cisco usa wildcard mask (inverso da mascara) em vez de CIDR.

iptables: INPUT, OUTPUT e FORWARD

iptables organiza regras em chains dentro de tabelas. A tabela filter tem tres chains principais: INPUT (trafego destinado ao proprio host), OUTPUT (originado pelo host) e FORWARD (passando pelo host, tipico em roteador Linux). O gerador devolve o comando para a chain INPUT por padrao, no formato iptables -A INPUT -s 192.168.0.0/24 -p tcp --dport 443 -j ACCEPT. Para regras de borda, troque INPUT por FORWARD.

nftables: o sucessor moderno

nftables substituiu o iptables no kernel Linux moderno e e o padrao em distribuicoes como Debian 11+, RHEL 8+ e Ubuntu 22.04+. A sintaxe e mais legivel, suporta multiplos protocolos em uma unica regra e tem desempenho melhor para ACLs grandes. O gerador produz comandos no formato nft add rule inet filter input ip saddr 192.168.0.0/24 tcp dport 443 accept, usando a tabela inet filter que e padrao em instalacoes recentes.

Ordem das regras importa

Como o processamento e top-down e para no primeiro match, regras especificas devem ficar acima das genericas. Um permit ip any any no topo torna todas as regras seguintes inuteis. A boa pratica e: regras de bloqueio especifico primeiro, regras de permissao especifica em seguida, e o deny implicito (ou explicito) no fim. Em iptables e nftables o mesmo principio se aplica via posicao na chain.

Melhores praticas de seguranca

  • Deny-all final explicito: mesmo que o implicit deny exista, adicionar deny ip any any log no fim ajuda no troubleshooting e gera logs uteis.
  • Log antes de drop: em iptables, -j LOG antes do -j DROP registra tentativas bloqueadas. Util em SIEM e auditoria.
  • Principio do menor privilegio: permita apenas o que e estritamente necessario. Nunca permit ip any any em borda.
  • Comente cada regra: Cisco usa remark, iptables aceita -m comment --comment, nftables tem comment "texto". Sem documentacao, ninguem entende a politica em seis meses.
  • Teste em laboratorio: uma ACL mal posicionada pode tirar o proprio acesso de gerencia. Tenha sempre console serial ou janela de rollback.

Exemplo passo a passo

Objetivo: permitir HTTPS (porta 443/TCP) da rede interna 10.10.0.0/24 para qualquer servidor externo. No gerador, voce informa:

  1. Acao: permit
  2. Protocolo: tcp
  3. Origem: 10.10.0.0/24
  4. Destino: any
  5. Porta destino: 443

O resultado e: Cisco IOS access-list 101 permit tcp 10.10.0.0 0.0.0.255 any eq 443; iptables iptables -A INPUT -s 10.10.0.0/24 -p tcp --dport 443 -j ACCEPT; nftables nft add rule inet filter input ip saddr 10.10.0.0/24 tcp dport 443 accept.

Referencias tecnicas

Para fundamentos: RFC 3704 (filtragem de ingress), documentacao oficial Cisco IOS (Security Configuration Guide), netfilter.org para iptables e nftables, e o wiki nftables para sintaxe moderna.

Ferramentas relacionadas

Como usar: Gerador ACL

  1. Escolha a acao (permit para liberar, deny para bloquear).
  2. Selecione o protocolo (TCP, UDP, ICMP ou ANY).
  3. Informe a origem em formato IP, CIDR (ex: 192.168.0.0/24) ou "any".
  4. Informe o destino no mesmo formato da origem.
  5. Se for TCP ou UDP, defina a porta destino (ex: 443 para HTTPS).
  6. Clique em "Gerar regras" e copie o snippet do seu firewall.

Gerador ACL: Perguntas Frequentes

Access Control List e uma lista sequencial de regras que o roteador ou firewall aplica em cada pacote, com acao permit ou deny baseada em criterios como origem, destino, protocolo e porta.

Permit libera o trafego que casa com a regra. Deny descarta silenciosamente. A maioria das ACLs tem um implicit deny no final que bloqueia tudo que nao foi explicitamente permitido.

Wildcard e o inverso da mascara de sub-rede. Bits 0 significam "deve casar" e bits 1 significam "ignorar". O gerador converte automaticamente do CIDR informado para o wildcard exigido pelo IOS.

nftables e o sucessor moderno e ja e padrao em Debian 11+, RHEL 8+ e Ubuntu 22.04+. iptables ainda funciona via shim de compatibilidade. Em sistemas novos prefira nftables.

Sim, mas tome cuidado. Uma regra "permit any any" libera todo o trafego e torna inuteis quaisquer deny posteriores na mesma ACL.

Cole o comando no terminal do equipamento. Em Cisco IOS, entre em modo de configuracao global. Em Linux, execute como root. Sempre teste em laboratorio antes de aplicar em borda.

Sim. ACLs processam de cima para baixo e param no primeiro match. Regras especificas devem ficar acima das genericas para evitar que sejam ignoradas.

A versao atual cobre apenas IPv4. Para IPv6 a logica de ACL e parecida mas usa prefixos /64 e sintaxe ipv6 access-list no Cisco e ip6tables no Linux.

O gerador ACL traduz uma regra logica em sintaxe pronta para Cisco IOS, iptables e nftables ao mesmo tempo, com validacao de IP/CIDR, suporte a porta opcional e tres snippets copiaveis lado a lado, prontos para colar direto no firewall em producao.