

# Reglas de ACL de red
<a name="nacl-rules"></a>

Puede añadir o quitar reglas de la ACL de red predeterminada, o bien crear ACL de red adicionales para su VPC. Al añadir o quitar reglas de una ACL de red, los cambios se aplicarán automáticamente a las subredes con las que esté asociada.

Las siguientes son las partes de una regla de ACL de red:
+ **Número de regla**. Las reglas se evalúan comenzando por la regla con el número más bajo. Cuando una regla coincide con el tráfico, esta se aplica independientemente de si hay una regla con un número más alto que la pueda contradecir.
+ **Tipo**. El tipo de tráfico; por ejemplo, SSH. También puede especificar todo el tráfico o un rango personalizado.
+ **Protocolo**. Puede especificar cualquier protocolo que tenga un número de protocolo estándar. Para obtener más información, consulte [Protocol Numbers](http://www.iana.org/assignments/protocol-numbers/protocol-numbers.xhtml). Si especifica ICMP como el protocolo, puede especificar cualquiera de los tipos y códigos de ICMP.
+ **Intervalo de puertos**. El puerto de escucha o el rango de puertos para el tráfico. Por ejemplo, 80 para el tráfico HTTP.
+ **Source**. [Solo reglas de entrada] Origen del tráfico (rango de CIDR).
+ **Destino**. [Solo reglas de salida] Destino del tráfico (rango de CIDR).
+ **Permitir/Denegar**. *permitir* o *denegar* el tráfico especificado.

Para ver ejemplos de reglas, consulte [Ejemplo: controlar el acceso a las instancias de una subred](nacl-examples.md).

## Consideraciones
<a name="nacl-rule-considerations"></a>
+ Existen cuotas (también conocidas como límites) para el número de reglas por ACL de red. Para obtener más información, consulte [Cuotas de Amazon VPC](amazon-vpc-limits.md).
+ Al añadir o eliminar una regla de una ACL, las subredes asociadas a la ACL estarán sujetas a ese cambio. Los cambios surten efecto después de un corto período de tiempo.
+ Si agrega una regla mediante una herramienta de línea de comandos o la API de Amazon EC2, el intervalo de CIDR se modifica automáticamente a la forma canónica. Por ejemplo, si especifica `100.68.0.18/18` en el rango de CIDR, creamos una regla con un rango de CIDR `100.68.0.0/18`.
+ Puede que desee agregar una regla de denegación en caso de que deba abrir un amplio rango de puertos, pero haya ciertos puertos dentro de ese rango que quiera denegar. Asegúrese de asignar a la regla de denegación un número inferior que la regla que permite el tráfico en el rango más amplio de puertos.
+ Si agrega y elimina reglas de una ACL de red al mismo tiempo, tenga cuidado. Si elimina reglas de entrada o de salida y, a continuación, agrega más entradas nuevas de las permitidas (consulte [Cuotas de Amazon VPC](amazon-vpc-limits.md)), se quitarán las entradas seleccionadas para eliminación y las nuevas entradas *no se agregarán*. Esto puede provocar problemas de conectividad inesperados e impedir involuntariamente el acceso a su VPC y desde esta.