Interface 4: 192.168.1.2
interface vlan1: 10.255.255.2
 
Voilà les 2 ACLs que j'ai placé sur mon l'interface 4 de mon routeur 851:
routeur_sauvegarde(config)# access-list 111 permit tcp 192.168.1.108 0.0.0.0 10.255.255.41 0.0.0.0 eq 445
routeur_sauvegarde(config)# access-list 111 deny ip any any
routeur_sauvegarde(config-if)# ip access-group 111 in
 
Bon, quand je ping du post 192.168.1.108 le post 10.255.255.41 cela me répond "impossible de joindre le reseau de destination" ce qui est normal vu que la 2eme acl bloque tout les protocole.
 
- Ce que je ne comprend pas c'est pourquoi quand je ping du post 10.255.255.41 =>le post 192.168.1.108 j'ai le message "request time out" Pourtant j'ai bien attribué l'acls à l'interface 4 en "IN" et pas en "OUT", donc je devrais pouvoir passer dans ce sens non?
Et avant que je place l'acl ça fonctionnait.
 
Donc dans un sens j'ai "impossible de joindre le réseau de destination" et dans l'autre sens j'ai "request time out".
 
- Si mon acl bloc dans les 2 sens alors a quoi ca servirai de placer un blocage sur l'interface vlan1 ou bien des acls en OUT?
 
- De plus comment rendre mon routeur invisible pour les 2 réseaux? (car les réponses au ping sur l'interface 192.168.1.2 à partir du post 192.168.1.108 renvoient "impossible de joindre le réseau de destination" ce qui trahis la présence du routeur non? car si il n'existait pas le ping afficherai "request time out" )

tu n'autorises pas le ping avec ton ACL.

et le flux de retour ne passe pas.

1 - tes paquets de retour (icmp reply) avec une destination en 10.x.x.x sont jetés par la seconde ligne de l'acl
 
2 - mauvais raisonnement

 
Donc si je comprend bien, quand je ping de 192.168.1.108=>10.255.255.41 c'est le echo qui permet de bloquer
et quand je ping de 10.255.255.41=>192.168.1.108 c'est le reply (qui entre bien dans l'interface, vu que c'est une réponse de 192.168.1.108)  qui permet de bloquer.
 
Si je veut autoriser le ping du post 10.255.255.41 => 192.168.1.108 et pas l'inverse, comment doit-je faire?
Je suis donc obliger de rajouter la règle suivant avant "access-list 111 deny ip any any":
access-list 111 permit icmp 192.168.1.108 0.0.0.0 10.255.255.41 0.0.0.0 reply
c'est bien ça?

Autre chose que je vient de m'apercevoir:
Quand j'entre seulement la première règle "access-list 111 permit tcp 192.168.1.108 0.0.0.0 10.255.255.41 0.0.0.0 eq 445" je ne peut déjà plus pinger 10.255.255.41 à partir de 192.168.1.108, pourquoi?

parce que dans toute ACL tu as un deny ip any any implicite à la fin

ah ok merci!!!
c'est fou le temps que je perd à essayer comprendre comment ça fonctionne!
 
Maintenant je cherche comment faire pour pas que lors d'un ping il s'affiche:
Réponse de 192.168.1.2 : Impossible de joindre le réseau de destination.
Réponse de 192.168.1.2 : Impossible de joindre le réseau de destination.
Réponse de 192.168.1.2 : Impossible de joindre le réseau de destination.
Réponse de 192.168.1.2 : Impossible de joindre le réseau de destination.
 
Car cela prouve la présence d'un routeur!
 
Y a pas moyen que le routeur ne renvoie aucun message?

Quel ping fais-tu et quel message ICMP vois-tu dans les traces réseaux ?
 
je suis pas certain qu'on puisse désactiver l'envoi de network unreachable par une commande. Essaye de créer une ACL en output qui bloque les ICMP type 3

router(config)#interface X
router(config-if)#no ip unreachables
 
de rien.

Merci pour la réponse je testerai!
 
sinon je faisait la commande suivant:
C:\>ping 10.255.255.41
 
Envoi d'une requête 'ping' sur 10.255.255.41 avec 32 octets de données :
 
Réponse de 192.168.1.2 : Impossible de joindre le réseau de destination.
Réponse de 192.168.1.2 : Impossible de joindre le réseau de destination.
Réponse de 192.168.1.2 : Impossible de joindre le réseau de destination.
Réponse de 192.168.1.2 : Impossible de joindre le réseau de destination.
 
Statistiques Ping pour 10.255.255.41:
    Paquets : envoyés = 4, reçus = 4, perdus = 0 (perte 0%),
Durée approximative des boucles en millisecondes :
    Minimum = 0ms, Maximum = 0ms, Moyenne = 0ms

Bon ya quand même un truc (ou plutôt plusiseur   ) qui m'échappe encore dans les ACLs
quand j'entre juste la règle suivante qui normalement devrait autoriser les ping vers n'importe quelle adresse ip:
access-list 111 permit icmp any any echo-reply
 
Même avec un deny ip any any implicite à la fin d'une acl ça devait fonctionner! or je me retrouve à ne plus pouvoir pinger mon pc 10.255.255.41 a partir du pc 192.168.1.108.    
Le pire c'est que un ping de mon pc 10.255.255.41 vers le pc 192.168.1.108 fonctionne bien!  
Je comprends pas!!!

l'echo request ne passe pas dans ce cas...

ACL en incoming sur l'interface auquel est connecté le pc source du ping.

La logique cisco est vraiment bizard!  
 
Que faut-il entrer comme commande ios apres ma règle "access-list 111 permit tcp 192.168.1.108 0.0.0.0 10.255.255.41 0.0.0.0 eq 445" pour autoriser les pings?

access-list 111 permit icmp host 192.168.1.108 host 10.255.255.41

 
ok merci!
 
Dans quelle circonstance on utilise les paramètres echo et reply à la fin de la commande alors?

salut .
juste un truc en passant
je déconseille le deny any any a la fin d'une ACL  , on peut plus ajouter de condition par la suite sans tout démonter...
Ou je rêve?  

avec les access lists étendues et nommées et numérotées oui, avec les standards non.

Je revient vous voir car je m'embête tous seul    
Bon je suis arrivé à faire ce que je voulais avec les ping (bloqué dans un sens et ouvet dans l'autre).
Par contre, je ne comprends pas pourquoi je n'arrive pas à copier des fichiers d'un pc 1 (10.255.255.41) vers un autre PC 2 (192.168.1.108) avec un batch et robocopy qui lui, utilise normalement le port 445. Sans les acls ça fonctionne bien.
c'est sur le pc 2 que s'exécute le batch.
 
Dans le batch je crée un connexion réseau avec le password et login de la connexion en utilisant la commande "Net use h: ..............".
Ma question est donc: Pour utiliser le "NET USE" dans le batch, y a t'il une règle à ajouter dans mes acls? Car je ne sais pas trop si la commande "net use" passe par tcp ou par netBEUI. Avec wireshark, j'ai l'impression que c'est du protocole smb qui est utilisé (faut-il ouvrir les ports 445? 139? 138?).
 
Que faut-il donc comme commande ios pour laisser créer une connexion réseau par le pc2 vers le pc1?
 
J'ai besoin de votre aide svp!