ciscoacl
Différences
Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentesRévision précédenteProchaine révision | Révision précédente | ||
ciscoacl [2022/10/10 09:48] – admin | ciscoacl [2022/10/10 10:38] (Version actuelle) – [Principes] admin | ||
---|---|---|---|
Ligne 8: | Ligne 8: | ||
* Application de l'ACL à une interface : <code cisco> | * Application de l'ACL à une interface : <code cisco> | ||
ip access-group < | ip access-group < | ||
+ | <WRAP center round important 95%> | ||
+ | On ne peut affecter qu'une ACL sur une interface dans chaque sens (1 en **out**/ 1 en **in**) | ||
+ | </ | ||
+ | |||
- | ==== ressources | + | ==== Ressources |
* [[https:// | * [[https:// | ||
* [[https:// | * [[https:// | ||
Ligne 40: | Ligne 44: | ||
<code lscript> | <code lscript> | ||
access-list 1 permit 192.168.1.254 0.0.0.0 | access-list 1 permit 192.168.1.254 0.0.0.0 | ||
- | access-list | + | access-list |
- | * L' | + | * La première ligne autorise le trafic depuis un matériel précis |
- | * L' | + | * La deuxième ligne interdit le trafic depuis tout un réseau |
* L' | * L' | ||
* interdit le trafic pour tout un réseau sauf le matériel .254 | * interdit le trafic pour tout un réseau sauf le matériel .254 | ||
Ligne 48: | Ligne 52: | ||
* **Remarque** : si on inverse les deux règles (réseau puis équipement), | * **Remarque** : si on inverse les deux règles (réseau puis équipement), | ||
+ | On peut voir la définition de l'ACL avec la commande **//show access-list// | ||
+ | <code lscript> | ||
+ | 10 permit host 192.168.1.254 | ||
+ | 20 deny 192.168.1.0 0.0.0.255</ | ||
==== Syntaxe ACL étendues ==== | ==== Syntaxe ACL étendues ==== | ||
Les ACL étendues correspondent à des règles de filtrage complètes. Elles peuvent porter sur : | Les ACL étendues correspondent à des règles de filtrage complètes. Elles peuvent porter sur : | ||
* les informations <wrap em> | * les informations <wrap em> | ||
+ | * les <wrap em> | ||
* l'< | * l'< | ||
* les <wrap em> | * les <wrap em> | ||
Ligne 79: | Ligne 88: | ||
==== ACL nommées et multi-règles ==== | ==== ACL nommées et multi-règles ==== | ||
On peut choisir de nommer les ACL plutôt que de les gérer uniquement par des numéros. | On peut choisir de nommer les ACL plutôt que de les gérer uniquement par des numéros. | ||
- | |||
- | De même, il peut être intéressant de gérer une ACL portant sur plusieurs règles pour l' | ||
On remplacera la syntaxe <code lscript> | On remplacera la syntaxe <code lscript> | ||
=== Exemples === | === Exemples === | ||
+ | __Exemple 1__ | ||
+ | Définit les échanges du réseau depuis le LAN vers un serveur Web, tout serveur DNS et un échange précis entre une machine et un serveur Mysql. sera affectée sur l' | ||
<code lscript> | <code lscript> | ||
| | ||
| | ||
| | ||
- | * Définit les échanges du réseau | + | |
- | + | __Exemple 2__ | |
- | <code lscript> | + | Définit les possibilités d' |
+ | <code lscript> | ||
| | ||
| | ||
| | ||
- | * Définit les possibilités d' | ||
+ | __Visualisation__ | ||
+ | La commande **//show access-list// | ||
+ | <code lscript> | ||
+ | 10 permit tcp any host 172.20.1.254 eq www | ||
+ | 20 permit udp 192.168.1.0 0.0.0.255 any eq domain | ||
+ | 30 permit tcp host 192.168.1.30 host 172.20.2.2 eq 3306 | ||
+ | Standard IP access list DMZ | ||
+ | 10 permit 192.168.1.0 0.0.0.255 | ||
+ | 20 permit 192.168.20.0 0.0.0.255 | ||
+ | 30 permit 10.20.0.0 0.0.255.255</ | ||
===== Affectation aux interfaces ===== | ===== Affectation aux interfaces ===== | ||
+ | ==== Principes ==== | ||
Une fois les ACL définies, on doit les appliquer aux interfaces. | Une fois les ACL définies, on doit les appliquer aux interfaces. | ||
- | Sur une interface, | + | Sur une interface, |
+ | * <wrap em> | ||
+ | * <wrap em> | ||
+ | |||
+ | <WRAP center round tip 80%> | ||
+ | Sur une interface donnée et dans un sens (in/out), il ne peut y avoir qu'une ACL. | ||
+ | </ | ||
+ | |||
+ | ==== Syntaxe ==== | ||
+ | On doit d' | ||
+ | <code lscript> | ||
+ | ip access-group LAN in | ||
+ | exit | ||
+ | interface fa0/1 | ||
+ | ip access-group DMZ out</ | ||
ciscoacl.1665395304.txt.gz · Dernière modification : 2022/10/10 09:48 de admin