WIKI SIO : DEPUIS 2017

Outils pour utilisateurs

Outils du site

Piste : ciscoacl cejmadonneessensibles ia23-sport act_gestcyber-301
ciscoacl

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentesRévision précédente
Prochaine révision		Révision précédente
ciscoacl [2022/10/10 09:50] – [Définition et affectation aux interfaces] adminciscoacl [2022/10/10 10:38] (Version actuelle) – [Principes] admin
Ligne 8: Ligne 8:
   * Application de l'ACL à une interface : <code cisco>interface <numInterface>    * Application de l'ACL à une interface : <code cisco>interface <numInterface> 
 ip access-group <numéroACL> {in|out}</code> ip access-group <numéroACL> {in|out}</code>
-<WRAP center round important 90%>+<WRAP center round important 95%>
 On ne peut affecter qu'une ACL sur une interface dans chaque sens (1 en **out**/ 1 en **in**) On ne peut affecter qu'une ACL sur une interface dans chaque sens (1 en **out**/ 1 en **in**)
 </WRAP> </WRAP>
Ligne 44: Ligne 44:
 <code lscript> <code lscript>
 access-list 1 permit 192.168.1.254 0.0.0.0  access-list 1 permit 192.168.1.254 0.0.0.0 
-access-list deny 192.168.1 0.0.0.255</code> +access-list deny 192.168.1 0.0.0.255</code> 
-  * L'access-list 1 autorise le trafic depuis un matériel précis +  * La première ligne autorise le trafic depuis un matériel précis 
-  * L'access-list 2 interdit le trafic depuis tout un réseau+  * La deuxième ligne interdit le trafic depuis tout un réseau
   * L'ensemble appliqué sur une interface (les deux formulations sont équivalentes) :   * L'ensemble appliqué sur une interface (les deux formulations sont équivalentes) :
     * interdit le trafic pour tout un réseau sauf le matériel .254     * interdit le trafic pour tout un réseau sauf le matériel .254
Ligne 52: Ligne 52:
   * **Remarque** : si on inverse les deux règles (réseau puis équipement), la deuxième ne s'appliquer jamais   * **Remarque** : si on inverse les deux règles (réseau puis équipement), la deuxième ne s'appliquer jamais
  
 +On peut voir la définition de l'ACL avec la commande **//show access-list//** :
 +<code lscript>Standard IP access list 1
 +    10 permit host 192.168.1.254
 +    20 deny 192.168.1.0 0.0.0.255</code>
 ==== Syntaxe ACL étendues ==== ==== Syntaxe ACL étendues ====
 Les ACL étendues correspondent à des règles de filtrage complètes. Elles peuvent porter sur :  Les ACL étendues correspondent à des règles de filtrage complètes. Elles peuvent porter sur : 
   * les informations <wrap em>source</wrap> et <wrap em>destination</wrap> du trafic (IP, port, service, etc)   * les informations <wrap em>source</wrap> et <wrap em>destination</wrap> du trafic (IP, port, service, etc)
 +  * les <wrap em>protocoles de bas niveau</wrap> (tcp, ip, ospf, etc)
   * l'<wrap em>adressage IP</wrap> : any (toute adresse), host pour une machine ou IP+masque inversé pour un (sous)réseau   * l'<wrap em>adressage IP</wrap> : any (toute adresse), host pour une machine ou IP+masque inversé pour un (sous)réseau
   * les <wrap em>services réseau</wrap>,    * les <wrap em>services réseau</wrap>, 
Ligne 83: Ligne 88:
 ==== ACL nommées et multi-règles ==== ==== ACL nommées et multi-règles ====
 On peut choisir de nommer les ACL plutôt que de les gérer uniquement par des numéros. On peut choisir de nommer les ACL plutôt que de les gérer uniquement par des numéros.
- 
-De même, il peut être intéressant de gérer une ACL portant sur plusieurs règles pour l'affecter en une seule fois à une interface.  
  
 On remplacera la syntaxe <code lscript>access-list</code> par la version <code lscript>ip access-list {extended|standard} <nom> </code> suivi des règles à appliquer. On remplacera la syntaxe <code lscript>access-list</code> par la version <code lscript>ip access-list {extended|standard} <nom> </code> suivi des règles à appliquer.
  
 === Exemples === === Exemples ===
 +__Exemple 1__
 +Définit les échanges du réseau depuis le LAN vers un serveur Web, tout serveur DNS et un échange précis entre une machine et un serveur Mysql. sera affectée sur l'interface LAN en **//in//**
 <code lscript>ip access-list extended LAN <code lscript>ip access-list extended LAN
  permit tcp any host 172.20.1.254  eq www  permit tcp any host 172.20.1.254  eq www
  permit udp 192.168.1.0 0.0.0.255 any eq domain  permit udp 192.168.1.0 0.0.0.255 any eq domain
  permit tcp host 192.168.1.30 host 172.20.2.2 eq 3306</code>  permit tcp host 192.168.1.30 host 172.20.2.2 eq 3306</code>
-  * Définit les échanges du réseau depuis le LAN vers un serveur Web, tout serveur DNS et un échange précis entre une machine et un serveur Mysql +  
- +__Exemple 2__ 
-<code lscript>ip access-list extended DMZ+Définit les possibilités d'échange depuis les réseaux du LAN. Sera appliqué sur l'interface DMZ en **//out//** 
 +<code lscript>ip access-list standard DMZ
  permit 192.168.1.0 0.0.0.255  permit 192.168.1.0 0.0.0.255
  permit 192.168.20.0 0.0.0.255  permit 192.168.20.0 0.0.0.255
  permit 10.20.0.0 0.0.255.255</code>  permit 10.20.0.0 0.0.255.255</code>
-  * Définit les possibilités d'échange depuis les réseaux du LAN. Sera appliqué sur l'interface DMZ en OUT 
  
 +__Visualisation__
 +La commande **//show access-list//** affichera : 
 +<code lscript>Extended IP access list LAN
 +    10 permit tcp any host 172.20.1.254 eq www
 +    20 permit udp 192.168.1.0 0.0.0.255 any eq domain
 +    30 permit tcp host 192.168.1.30 host 172.20.2.2 eq 3306
 +Standard IP access list DMZ
 +    10 permit 192.168.1.0 0.0.0.255
 +    20 permit 192.168.20.0 0.0.0.255
 +    30 permit 10.20.0.0 0.0.255.255</code>
  
 ===== Affectation aux interfaces ===== ===== Affectation aux interfaces =====
 +==== Principes ====
 Une fois les ACL définies, on doit les appliquer aux interfaces.  Une fois les ACL définies, on doit les appliquer aux interfaces. 
  
-Sur une interface, +Sur une interface, on applique les règles en :  
 +  * <wrap em>in</wrap> : le trafic provient de l'extérieur du matériel filtrant (routeur, firewall) et est analysé dès son arrivée sur l'interface. Cela permet de //**bloquer/autoriser le trafic au plus tôt**//.  
 +  * <wrap em>out</wrap> : le trafic a pu entrer dans le matériel filtrant, il est analysé au moment où il doit ressortir par une interface. Cela peut être utile lorsque des **flux de sources diverses** doivent être gérés vers une destination commune (par exemple vers la DMZ) 
 + 
 +<WRAP center round tip 80%> 
 +Sur une interface donnée et dans un sens (in/out), il ne peut y avoir qu'une ACL. 
 +</WRAP> 
 + 
 +==== Syntaxe ==== 
 +On doit d'abord choisir l'interface, puis lui affecter l'ACL dans le sens désiré. 
 +<code lscript>interface fa0/0  
 +ip access-group LAN in 
 +exit 
 +interface fa0/1 
 +ip access-group DMZ out</code>
  
  
  
ciscoacl.1665395436.txt.gz · Dernière modification : 2022/10/10 09:50 de admin