ACL cisco pix 515e

ACL cisco pix 515e - Sécurité - Systèmes & Réseaux Pro

Marsh Posté le 25-09-2008 à 14:23:26    

Bonjour à tous,
 
je viens vous soumettre une question, je ne suis pas spécialiste sur les ACL et une collègue m'a posé une question.
Imaginons que j'ai un pix 515e.
Est possible de créer une ACL qui filtre le trafic allant de la DMZ vers le Lan en mettant en paramètre un certains port, par exemple bloquer le port 23 (telnet) (ce n'est qu'un exemple).
 
bien sûr je pense que c'est faisable (j'ai fait quelques recherches qui vont dans ce sens, une simple ACL étendue et hop...).
Mais ce que ma collègue faisait n'avait pas l'air de fonctionner d'après elle, et elle voudrait confirmation.
enfin je pense surtout qu'elle s'est planté dans l'ordre de ses ACL  :sweat:  
 
étant donné que je n'ai aucun moyen matériel pour vérifier moi même je me tourne vers vous et google ^^
 
Merci d'avance.


Message édité par Cyr1u$ le 25-09-2008 à 14:27:49
Reply

Marsh Posté le 25-09-2008 à 14:23:26   

Reply

Marsh Posté le 26-09-2008 à 17:55:24    

Les PIX embarque une gestion web pour le management du pare-fey assez simple, crée tes ACL et teste!

Reply

Marsh Posté le 12-11-2008 à 14:11:43    

En ligne de commande ça doit donner ça:
 
access-list DMZ_LAN extended deny tcp 192.168.1.0 255.255.255.0 172.16.1.0 255.255.255.0 eq 23
 
Avec 192.168.1.0 qui est ton LAN et 172.16.1.0 pour ta DMZ, ensuite il faut appliquer ton access-list à l'interface côté LAN :
 
access-group DMZ_LAN in interface inside
 
Avec inside qui est l'interface côté LAN.
 
Ceci est valable pour les PIX et ASA avec IOS version 7 et plus.


Message édité par misterco le 12-11-2008 à 16:17:34

---------------
Mixis | Ma Brute | Mon Feeback
Reply

Marsh Posté le 12-11-2008 à 23:41:35    

j'aurai mis  l'ACL coté outside interface ,les paquet a jeter seraient bloqués a la source... non? comment ca on
bloque avant de "router"

Reply

Marsh Posté le 13-11-2008 à 10:56:40    

Même du côté de l'interface dmz, comme ça les paquets en destination de l'inside (de la part de la dmz) serait effectivement bloqués avant d'être routés :
 
access-group DMZ_LAN in interface dmz


---------------
Mixis | Ma Brute | Mon Feeback
Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed