1. Acao e protocolo

2. Origem

3. Destino

4. Opcoes avancadas

5. Plataformas alvo

6. Presets rapidos

Gerador ACL: regras de firewall prontas para 20 plataformas

O gerador ACL resolve um problema operacional concreto: traduzir uma regra logica em sintaxes diferentes ao mesmo tempo, sem memorizar a sintaxe de cada plataforma. Voce define acao, origem, destino, porta e protocolo, e a ferramenta devolve os comandos prontos para Cisco IOS/IOS-XR/NX-OS/ASA, Juniper JunOS, MikroTik RouterOS v7, Huawei VRP, HPE Aruba CX, FortiGate, Palo Alto PAN-OS, pfSense/OPNsense, Linux iptables/nftables/ipset, AWS Security Group/NACL, Azure NSG, GCP e Windows Firewall.

O que e uma ACL

ACL (Access Control List) e uma lista sequencial de regras que o roteador ou firewall aplica em cada pacote que atravessa uma interface. Cada regra contem criterios de match (IP de origem, IP de destino, protocolo, porta) e uma acao (permit, deny, drop, reject). O dispositivo processa as regras de cima para baixo e para na primeira que casa. No final de toda ACL existe um implicit deny invisivel que bloqueia qualquer trafego nao explicitamente permitido.

Plataformas suportadas e diferencas de sintaxe

Cada plataforma usa convencoes proprias. Cisco IOS usa wildcard mask (inverso da mascara de sub-rede) nas ACLs numeradas e named; IOS-XR usa ACLs nomeadas obrigatorias com ipv4 access-list; NX-OS aceita named ACLs com numeros de sequencia e suporta ip access-list; ASA usa mascara de rede normal (nao wildcard) e o prefixo access-list ACL-NAME extended. Juniper usa uma estrutura firewall family inet filter hierarquica com termos, from (match) e then (acao). MikroTik usa /ip firewall filter add com matchers chain/action. Huawei VRP define ACLs com acl number e regras com rule permit/deny usando mascara wildcard. HPE Aruba CX usa named ACLs com numeros de sequencia e sintaxe permit/deny proto src dst. FortiGate usa config firewall policy com interfaces de entrada/saida, enderecos e servicos. Palo Alto usa set rulebase security rules com zonas, nao IPs diretamente na regra. pfSense/OPNsense usa easyrule ou sintaxe pf direta. Linux iptables e a cadeia classica com -j ACCEPT/DROP/REJECT; nftables e o successor moderno com nft add rule. Cloud providers usam CLI proprios: AWS aws ec2 authorize-security-group-ingress, Azure az network nsg rule create, GCP gcloud compute firewall-rules create. Windows usa New-NetFirewallRule PowerShell.

Cisco wildcard mask vs CIDR vs mascara normal

No mundo Cisco IOS/IOS-XR/NX-OS a wildcard mask e o inverso da mascara: /24 = 0.0.0.255, /16 = 0.255.255.255, /32 = 0.0.0.0 (host). O comando host X.X.X.X e equivalente a X.X.X.X 0.0.0.0. Na ASA, o comportamento e diferente: a ASA usa mascara de sub-rede normal (255.255.255.0) em vez de wildcard. Huawei VRP tambem usa wildcard mask (0.0.0.255). Todas as outras plataformas usam notacao CIDR ou CIDR-equivalente.

Stateful vs stateless

Firewalls stateful rastreiam o estado de conexoes. Para permitir trafego de retorno, basta a regra de ida; o firewall aceita automaticamente os pacotes de volta por pertencerem a uma conexao estabelecida. Firewalls stateless (como ACLs Cisco IOS classicas) requerem regras explicitas nos dois sentidos. Linux iptables pode ser stateful com -m conntrack --ctstate ESTABLISHED,RELATED. nftables usa ct state established,related accept. pfSense e stateful por padrao (keep state).

Ordem e numeracao das regras

Plataformas baseadas em numeracao (Cisco IOS numbered, NX-OS, Aruba CX, Huawei) processam por numero de sequencia crescente. Named ACLs Cisco permitem reordenar sem recriar a ACL. Palo Alto usa posicao na rulebase (top-down), sem numero. FortiGate usa ID de policy. pfSense usa ordem de insercao. Em todas: regra especifica deve preceder a generica.

Melhores praticas de seguranca

  • Deny-all final explicito: mesmo que o implicit deny exista, adicionar uma regra de bloqueio final com log ajuda no troubleshooting.
  • Log antes de drop: em iptables, insira -j LOG antes do -j DROP para registrar tentativas. Util em SIEM.
  • Principio do menor privilegio: permita apenas o que e estritamente necessario.
  • Comente cada regra: Cisco usa remark, iptables usa -m comment --comment, nftables tem comment "texto", MikroTik usa comment=.
  • Teste em laboratorio: uma ACL mal posicionada pode tirar o proprio acesso de gerencia.

Referencias tecnicas

Fontes consultadas para este gerador ACL (2025-2026): Cisco IOS-XE 17.14 Security Configuration Guide (catalyst9300); Cisco IOS-XR 7.8.x IP Addresses Configuration Guide (cisco8000); Cisco NX-OS 10.5.x Security Configuration Guide (nexus9000); Cisco ASA 9.20 Firewall CLI Configuration Guide; Juniper JunOS Routing Policies, Firewall Filters and Traffic Policers User Guide (juniper.net/documentation); MikroTik RouterOS Filter documentation (help.mikrotik.com); Huawei S5700 V200R021 Command Reference; ArubaOS-CX 10.15 ACLs Guide; FortiOS 7.4.4 CLI Reference (docs.fortinet.com); PAN-OS 11.0 Admin Guide (docs.paloaltonetworks.com); pfSense Documentation (docs.netgate.com); nftables wiki (wiki.nftables.org); Microsoft Learn az network nsg rule (updated 2026-01-27); AWS CLI Security Group documentation; Google Cloud SDK gcloud reference.

Ferramentas relacionadas

Como usar: Gerador ACL

  1. Escolha a acao (permit para liberar, deny para bloquear).
  2. Selecione o protocolo (TCP, UDP, ICMP ou ANY).
  3. Informe a origem em formato IP, CIDR (ex: 192.168.0.0/24) ou "any".
  4. Informe o destino no mesmo formato da origem.
  5. Se for TCP ou UDP, defina a porta destino (ex: 443 para HTTPS).
  6. Clique em "Gerar regras" e copie o snippet do seu firewall.

Gerador ACL: Perguntas Frequentes

O que e uma ACL?

Access Control List e uma lista sequencial de regras que o roteador ou firewall aplica em cada pacote, com acao permit ou deny baseada em criterios como origem, destino, protocolo e porta.

Qual a diferenca entre permit e deny?

Permit libera o trafego que casa com a regra. Deny descarta silenciosamente. A maioria das ACLs tem um implicit deny no final que bloqueia tudo que nao foi explicitamente permitido.

Por que Cisco usa wildcard mask em vez de CIDR?

Wildcard e o inverso da mascara de sub-rede. Bits 0 significam "deve casar" e bits 1 significam "ignorar". O gerador converte automaticamente do CIDR informado para o wildcard exigido pelo IOS.

iptables ou nftables: qual usar?

nftables e o sucessor moderno e ja e padrao em Debian 11+, RHEL 8+ e Ubuntu 22.04+. iptables ainda funciona via shim de compatibilidade. Em sistemas novos prefira nftables.

Posso usar "any" em origem e destino ao mesmo tempo?

Sim, mas tome cuidado. Uma regra "permit any any" libera todo o trafego e torna inuteis quaisquer deny posteriores na mesma ACL.

Como aplicar a regra gerada em producao?

Cole o comando no terminal do equipamento. Em Cisco IOS, entre em modo de configuracao global. Em Linux, execute como root. Sempre teste em laboratorio antes de aplicar em borda.

A ordem das regras importa?

Sim. ACLs processam de cima para baixo e param no primeiro match. Regras especificas devem ficar acima das genericas para evitar que sejam ignoradas.

O gerador suporta IPv6?

A versao atual cobre apenas IPv4. Para IPv6 a logica de ACL e parecida mas usa prefixos /64 e sintaxe ipv6 access-list no Cisco e ip6tables no Linux.

O gerador ACL traduz uma regra logica em sintaxe pronta para 20 plataformas ao mesmo tempo, com validacao de IP/CIDR, suporte a porta de origem/destino, numero de sequencia, log e comentario, gerando snippets copiaveis para Cisco, Juniper, MikroTik, Huawei, FortiGate, Palo Alto, pfSense, iptables, nftables, AWS, Azure, GCP e Windows.