Salut
 
Je configure en se moment un routeur et pour sécuriser mon réseau je met en place des ACL Nommées.
 
j'ai donc crée 2 ACL pour mes 2 interfaces fa 0/0 et fa 0/1:
 

.
 

 
Mais je n'arrive pas à faire de ping entre le réseau admin et entreprise alors que quand j'enlève les règles pas de problème, le ping passe bien.
Pourquoi mes règles ne marche pas? Merci

Vérifie voir les masques dans tes ACL ; j'ai un petit doute sur leur étendue.

enlève le NAT dans ta conf en laissant les ACLs pour voir si ça fonctionne ?

je mettrais plutôt :

puisque tu travailles en 172.20.x.y, enfin bref comme blue2...
 
note : chuis pas sûr du code, j'ai manipulé 3 fois des ACL sur des switch, et 1 fois c'était tellement le brinz que le switch est reparti au fabricant, j'avais fusillé les 2 firmwires (le boot et l'actif)

pour moi son ACL est bonne, je pense juste à problème de process concurrents entre les ACLs et le nat

Bonjour,
 
Tu as inversé les adresses dans ton ACL.
 
Lorsque tu appliques ton ACL en "in" sur ton interface il filtre l'adresse source.
 
Aymeric

La correction :
!
ip access-list standard Reseau_admin
 permit 172.20.1.0 0.0.0.255
ip access-list standard Reseau_entreprise
 permit 172.20.3.0 0.0.0.255
!

Pour plus d'information je vous montre le debug :
Avec l'ACL que tu as mis au début en "IN" :
*Mar  1 00:17:56.127: ICMP: dst (172.20.1.1) administratively prohibited unreachable sent to 172.20.3.1

 
Ouais c'est bien ça, sa marche, mais alors je doit mettre out à la place de in sur les interfaces pour filtrer tous se qui peut rentrer dans le réseau admin (172.20.1.0) ?
 
Car je veux que 172.20.1.0 et 172.20.4.0 est accès entre eux mais qu'il n'y ait pas d'autres réseaux.

Tu peux le faire avec des ACL étendu sinon le plus simple c'est ça :
 
!
interface FastEthernet0/0
ip address 172.20.3.254 255.255.255.0
ip access-group Reseau_entreprise in
ip access-group Reseau_admin out
ip nat inside
ip virtual-reassembly
duplex auto
speed auto
!
interface FastEthernet0/1
ip address 172.20.1.254 255.255.255.0
ip access-group Reseau_admin in
ip access-group Reseau_entreprise out
ip nat inside
ip virtual-reassembly
duplex auto
speed auto
!
ip access-list standard Reseau_admin
 permit 172.20.1.0 0.0.0.255
ip access-list standard Reseau_entreprise
 permit 172.20.3.0 0.0.0.255
!
 
 
Il serait quand même plus correct de faire une ACL pour le "IN" et une pour le "OUT" pour chaque interface.
 
Aymeric

 
Mais en faites je pense que je vais le faire a l'endroit, je m'explique.
Au lieu de savoir qui a le droit d'aller sur cette interface je vais faire qui l'interface a le droit d'aller voire.
 
Quand on met ip nat inside sur l'interface fa 0/0, toutes les machines sont naté des leurs sorti de l'interface, donc sur les autres réseaux du routeur les machines voient l'ip du routeur non? si je veux que l'adresse source reste la même sur tous les réseaux il faut que je met mon ip nat inside sur l'interface atm0/0 non?
 
Une autre question : a quoi sert cette commande? ip nat inside source list 1 interface ATM0/0.1 overload
 
Merci encore

Attention ne confond pas inside/outside :
inside = ton LAN
outside : ton WAN
 
Le NAT fonctionne lorsque tu utilise une interface inside vers une outside, donc à l'extérieur on voir l'adresse du WAN du routeur. Par contre entre tes 2 réseaux inside il n'y a pas de translation d'adresse.
 
Par contre je comprend pas trop ton objectif, pourquoi vouloir garder la même adresse partout ?
 
Pour répondre à ta dernière question la commande overload permet l'utilisation d'interface inside multiple.