WIKI SIO : DEPUIS 2017

Outils pour utilisateurs

Outils du site

Piste : cejmargpddef
ciscoacl

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentesRévision précédente
Prochaine révision		Révision précédente
ciscoacl [2022/10/10 09:58] – [ACL nommées et multi-règles] adminciscoacl [2022/10/10 10:38] (Version actuelle) – [Principes] admin
Ligne 92: Ligne 92:
  
 === Exemples === === Exemples ===
 +__Exemple 1__
 +Définit les échanges du réseau depuis le LAN vers un serveur Web, tout serveur DNS et un échange précis entre une machine et un serveur Mysql. sera affectée sur l'interface LAN en **//in//**
 <code lscript>ip access-list extended LAN <code lscript>ip access-list extended LAN
  permit tcp any host 172.20.1.254  eq www  permit tcp any host 172.20.1.254  eq www
  permit udp 192.168.1.0 0.0.0.255 any eq domain  permit udp 192.168.1.0 0.0.0.255 any eq domain
  permit tcp host 192.168.1.30 host 172.20.2.2 eq 3306</code>  permit tcp host 192.168.1.30 host 172.20.2.2 eq 3306</code>
-  * Définit les échanges du réseau depuis le LAN vers un serveur Web, tout serveur DNS et un échange précis entre une machine et un serveur Mysql +  
 +__Exemple 2__ 
 +Définit les possibilités d'échange depuis les réseaux du LAN. Sera appliqué sur l'interface DMZ en **//out//**
 <code lscript>ip access-list standard DMZ <code lscript>ip access-list standard DMZ
  permit 192.168.1.0 0.0.0.255  permit 192.168.1.0 0.0.0.255
  permit 192.168.20.0 0.0.0.255  permit 192.168.20.0 0.0.0.255
  permit 10.20.0.0 0.0.255.255</code>  permit 10.20.0.0 0.0.255.255</code>
-  * Définit les possibilités d'échange depuis les réseaux du LAN. Sera appliqué sur l'interface DMZ en OUT 
  
 +__Visualisation__
 La commande **//show access-list//** affichera :  La commande **//show access-list//** affichera : 
 <code lscript>Extended IP access list LAN <code lscript>Extended IP access list LAN
Ligne 115: Ligne 118:
  
 ===== Affectation aux interfaces ===== ===== Affectation aux interfaces =====
 +==== Principes ====
 Une fois les ACL définies, on doit les appliquer aux interfaces.  Une fois les ACL définies, on doit les appliquer aux interfaces. 
  
-Sur une interface, +Sur une interface, on applique les règles en :  
 +  * <wrap em>in</wrap> : le trafic provient de l'extérieur du matériel filtrant (routeur, firewall) et est analysé dès son arrivée sur l'interface. Cela permet de //**bloquer/autoriser le trafic au plus tôt**//.  
 +  * <wrap em>out</wrap> : le trafic a pu entrer dans le matériel filtrant, il est analysé au moment où il doit ressortir par une interface. Cela peut être utile lorsque des **flux de sources diverses** doivent être gérés vers une destination commune (par exemple vers la DMZ) 
 + 
 +<WRAP center round tip 80%> 
 +Sur une interface donnée et dans un sens (in/out), il ne peut y avoir qu'une ACL. 
 +</WRAP> 
 + 
 +==== Syntaxe ==== 
 +On doit d'abord choisir l'interface, puis lui affecter l'ACL dans le sens désiré. 
 +<code lscript>interface fa0/0  
 +ip access-group LAN in 
 +exit 
 +interface fa0/1 
 +ip access-group DMZ out</code>
  
  
  
ciscoacl.1665395939.txt.gz · Dernière modification : 2022/10/10 09:58 de admin