ACL cisco - Sécurité - Systèmes & Réseaux Pro
Marsh Posté le 05-11-2008 à 11:03:51
et bien alors? parmis tous les experts présents ici, personne n'est capable de faire 3 ACL cisco?
Marsh Posté le 05-11-2008 à 19:21:43
Je ne suis pas sûr que le routeur matche les flux retours.
Marsh Posté le 06-11-2008 à 08:44:08
Pour le moment non, il ne les reconnait pas.
Comment faire?
Marsh Posté le 06-11-2008 à 11:01:25
ben tu rajoutes la ligne dans l'ACL... je ne comprends pas où est le problème franchement... Qu'entends-tu pas "notre" réseau (lequel ?)
Marsh Posté le 06-11-2008 à 11:04:54
Dans un sens je veux autoriser que le ping et le TCP 5555 et dans l'autre tout.
Seulement les paquets retours sont bloqués par mon ACL 101.
Si je rajoute une ligne autorisant le ping depuis le réseau Wifi vers le LAN la première restriction n'est plus bonne.
Marsh Posté le 06-11-2008 à 13:36:49
Le routeur ne laissait pas passer la réponse du serveur 172.16.0.30 (echo-reply)
1. access-list 101 permit tcp 172.18.0.0 0.0.255.255 host 172.16.0.30 eq 5555
2. access-list 101 permit icmp 172.18.0.0 0.0.255.255 host 172.16.0.30 echo
3. access-list 101 permit icmp host 172.16.0.30 172.18.0.0 0.0.255.255 echo-reply
4. access-list 101 deny ip any any
Marsh Posté le 06-11-2008 à 13:49:16
merci mmc mais le ping depuis le réseau 172.18.0.0 fonctionne vers le 172.16.0.30.
Ce que je voudrais c'est pouvoir pinguer depuis mon LAN 172.16.0.0 n'importe quelle machine du WLAN 172.18.0.0
Dans ta proposition je ne pense pas que ca passe non plus .
Marsh Posté le 06-11-2008 à 14:01:32
1. access-list 101 permit tcp 172.18.0.0 0.0.255.255 host 172.16.0.30 eq 5555
2. access-list 101 permit icmp 172.16.0.0 0.0.255.255 172.18.0.0 0.0.255.255 echo
3. access-list 101 permit icmp 172.18.0.0 0.0.255.255 172.16.0.0 0.0.255.255 echo-reply
4. access-list 101 permit icmp any 172.16.0.0 0.0.255.255 time-exceeded
5. access-list 101 deny ip any any
Ils ont des firewalls tes machines sur le réseau 172.18.0.0 ou le 172.16.0.0 ?
Marsh Posté le 06-11-2008 à 14:14:45
non, mes clients n'ont pas de firewall.
Imaginons que je veuille autoriser le port 5900 tcp (de 172.16 vers 172.18) ou un autre tcp il me faut:
access-list 101 permit tcp 172.18.0.0 0.0.255.255 host 172.16.0.00 eq 5900 established
Avec l'ACL appliquée sur l'interface 172.18.0.254 en IN ?
Marsh Posté le 06-11-2008 à 18:32:29
Oui, mais plutôt alors :
access-list 101 permit tcp 172.18.0.0 0.0.255.255 172.16.0.0 0.0.255.255 eq 5900 established
et pas:
Pims a écrit : |
Autre exemple pour le ping :
interface ethernet0/0 (IP interface entrée/sortie 172.18.0.254 ou vers réseau 172.18.0.0)
ip access-group 101 in
access-list 101 permit tcp 172.18.0.0 0.0.255.255 host 172.16.0.30 eq 5555
access-list 101 permit icmp 172.18.0.0 0.0.255.255 172.16.0.0 0.0.255.255 echo-reply
access-list 101 permit icmp any 172.16.0.0 0.0.255.255 time-exceeded
access-list 101 deny ip any any
ip access-group 102 out
access-list 102 permit tcp host 172.16.0.30 eq 5555 172.18.0.0 0.0.255.255
access-list 102 permit icmp 172.16.0.0 0.0.255.255 172.18.0.0 0.0.255.255 echo
access-list 102 deny ip any any
Marsh Posté le 06-11-2008 à 18:43:22
rajoute le mot clé "log" à la fin de tes ACLs pour voir quelle ligne bloque.
Marsh Posté le 24-11-2008 à 12:02:00
hello,
J'ai reçu le routeur et je mets en place la conf réelle maintenant (fini packet tracer )
Quelle est l'avantage de ta solution avec 101 in et 102 out?
Si jamais je peux dans ce cas mettre la 101 in sur mon interface fa0/0 et la 102 sur fa0/1 en in aussi plutôt que sur la fa0/0 en out non?
Marsh Posté le 24-11-2008 à 14:03:30
Tout dépend ce que tu veux faire.
Si tu as l'intention de laisser passer tout les autres protocoles sur d'autres réseaux ou interfaces.
La 1er solution est la plus appropriée.
Par contre, si tu n'as pas utilité de laisser passer d'autres protocoles vers d'autres réseaux ou interfaces.
L'acl sera plus approprié sur Fa0/1 en "in" .
Marsh Posté le 24-11-2008 à 14:07:44
Oui, ce routeur est là uniquement pour router ces deux réseaux et filtrer. Rien d'autre dessus.
Je vais mettre la 101 en in sur fa0/0 et la 102 en in sur fa0/1
enfin celles ci car j'aimerai faire du VNC et du HTTP vers ce réseau quand même.
Code :
|
Merci beaucoup en tout cas.
Marsh Posté le 25-11-2008 à 14:00:30
Encore un souci :-/
Avec mes ACL si dessus, je n'arrive pas à accéder à un serveur web sur le réseau 172.18.0.0.
Pourtant ça devrait non?
(je suis encore sous "packet tracer".
Marsh Posté le 25-11-2008 à 14:34:28
Pims a écrit :
|
Ci-dessus, en bleu, il est préférable de préciser le masque réseau destinataire.
Marsh Posté le 25-11-2008 à 14:44:01
Code :
|
Erreur dans mes captures, voilà les deux ACL que j'ai en réalité.
Marsh Posté le 27-11-2008 à 09:38:57
personne n'a une petite idée? mmc?
ou alors c'est packet tracer qui déconne et ça devrait marcher?
Marsh Posté le 27-11-2008 à 11:08:00
fais le test en ajoutant le mot clé "log" sur tes ACL pour voir où ça coicne
Marsh Posté le 27-11-2008 à 11:45:30
dreamer18 a écrit : fais le test en ajoutant le mot clé "log" sur tes ACL pour voir où ça coicne |
Oui, merci, j'ai mis "log" sur les ACL de mon routeur mais sur ma simulation packet tracer ce n'est pas supporté.
Marsh Posté le 10-12-2008 à 16:09:21
Tjrs impossible de faire ce que je veux, j'ai désactivé mon ACL 102 et j'ai changé la 101 en:
# access-list 101 remark in depuis wifi
# access-list 101 permit tcp 172.18.0.0 0.0.255.255 host 172.16.0.30 eq 5555
# access-list 101 permit icmp 172.18.0.0 0.0.255.255 host 172.16.0.30
# access-list 101 permit tcp 172.18.0.0 0.0.255.255 172.16.0.0 0.0.255.255 eq www
# access-list 101 permit icmp 172.18.0.0 0.0.255.255 172.16.0.0 0.0.255.255 echo-reply
# access-list 101 deny ip any any
J'ai donc enlevé le "established" mais c'est tjrs pareil, pas moyen d'accèder à mon serveur web sur le réseau 172.18... :-/
Marsh Posté le 11-01-2009 à 18:20:46
Pims, je te conseil un forum dédier à Cisco et en français :
http://forum.labo-cisco.com
Marsh Posté le 13-01-2009 à 11:14:22
Voir réponse sur le forum du labo :
Utilise des ACL reflexive ou mieu du CBAC si tu as un IOS secu (advsecurity ou K9 dans le nom de l'image)
pour une ACL reflexive, tu mets ça sur l'interface reliée à ton réseau filaire en IN:
access-list 101 permit ip any any reflect myiptraffic
et en in sur l'interface wifi
access-list 102 permit tcp 172.18.0.0 0.0.255.255 host 172.16.0.30 eq 5555
access-list 102 permit icmp 172.18.0.0 0.0.255.255 host 172.16.0.30
access-list 102 evaluate myiptraffic
En gros, tout ce qui est autorisé par l'acl 101 est mis en mémoire dans une table myiptraffic, et l'acl 102 vérifie si le traffic correspond aux entrées de cette table.
Si t'as du crypto:
ip inspect name myrule ?
tu choisi tes protocoles
et sur tin interface filaire
ip inspect myrule in
voila
Marsh Posté le 04-11-2008 à 14:12:02
Hello,
Nous avons ajouté un nouveau réseau wifi chez nous et je compte router et filtrer le trafic avec un routeur Cisco.
Voilà nos besoins:
Autoriser uniquement le port TCP 5555 et le ping depuis le réseau wifi (172.18.0.0/16) vers un de nos serveurs (172.16.0.30).
Tout autoriser depuis notre réseau vers notre réseau Wifi.
J'ai appliquer ça mais j'ai un souci:
En appliquant ça je ne peux plus faire de ping depuis notre réseau vers le réseau wifi depuis une autre machine que le serveur 172.16.0.30... normal vu que ICMP est autorisé que vers ce serveur.
Comment faire simple?
autoriser le echo reply vers tout notre réseau?
utiliser le paramètre "Established" pour autoriser les connexion TCP établies? (pour VNC entre autre)
Thx
---------------
Life is like a box of chocolate you never know what you gonna get.