Problème d'ACL
Problème d'ACL - Réseaux - Systèmes & Réseaux Pro
Marsh Posté le 02-01-2014 à 08:17:56
Tout d'abord, bonne année à tous !!!
Personne pour m'aider ??
Marsh Posté le 02-01-2014 à 10:34:57
Bonjour, et bonne année.
Je ne sais rien des tes équipements et je ne suis pas spécialiste des réseaux, mais il me semble que dans ce genre d'ACL, l'ordre d’exécution des règles a son importance (ce qui semble confirmé par la numérotation).
Je serais alors tenté de dire que la réponse est contenue dans la question : si tu termine par une règle "any-any" alors elle prévaut sur toutes les autres avant et c'est open-bar !
Soit tu fait un système de règles "tout est autorisé sauf ce qui est interdit", et tu place d'abord tes règles permit, puis tes règles deny
Soit tu part dans une logique "tout est interdit sauf ce qui est autorisé" (plus sûr !), et tu place un "deny all" au début, avec des "permit" à la suite qui ouvrent les accès que tu souhaite.
Marsh Posté le 02-01-2014 à 11:47:31
Bonjour et merci de me répondre.
C'est vrai, j'ai oublié de le préciser mais ce sont des switchs Cisco (en même temps quand on voit les commandes de mon ACL, on peut s'en douter ...).
En effet, dans une ACL, l'ordre a son importance mais justement, elles sont vérifiées séquentiellement de la première à la dernière (et non l'inverse). Ce qui fait que si tu mets un deny all au début, normalement, tout devrait être bloqué, peu importe ce que tu mets après.
Mais là, ce n'est pas le cas .........
C'est pour ça que je pense plutôt qu'elle n'est pas appliquée, mais là je ne vois pas comment faire mieux ...
Marsh Posté le 02-01-2014 à 13:10:59
| Steve2 a écrit : Bonjour, et bonne année. Je ne sais rien des tes équipements et je ne suis pas spécialiste des réseaux, mais il me semble que dans ce genre d'ACL, l'ordre d’exécution des règles a son importance (ce qui semble confirmé par la numérotation). Soit tu fait un système de règles "tout est autorisé sauf ce qui est interdit", et tu place d'abord tes règles permit, puis tes règles deny |
C'est l'inverse
L'ordre d'exécution a son importance mais c'est la première qui matche qui est retenue (celle avec le plus petit numéro d'index)
. Si tu as un pemit all à la fin et si tu as un deny avant alors c'est le deny qui prime
. Si tu as un deny all à la fin et si tu as un accept avant alors c'est le accept qui prime
Message édité par o'gure le 02-01-2014 à 13:14:03
---------------
Relax. Take a deep breath !
Marsh Posté le 02-01-2014 à 13:13:42
| ganjaman-echo a écrit : Bonjour et merci de me répondre. |
Sur les cisco :
1. tu définis ton ACL
2. tu l'applique sur ton interface
Par exemple:
http://www.cisco.com/en/US/docs/io [...] apply.html
Recherche des exemples sur le site de cisco, il est super riche en info et en exemple de conf.
---------------
Relax. Take a deep breath !
Marsh Posté le 02-01-2014 à 18:16:53
10 permit ip 172.17.96.0 0.0.0.255 host 172.16.0.183
30 permit ip 172.17.96.0 0.0.0.255 host 172.16.0.184
50 permit ip 172.17.96.0 0.0.0.255 host 172.16.254.179
[...]
130 permit ip 172.17.96.0 0.0.0.255 host 172.17.200.95
150 deny ip 172.17.96.0 0.0.0.255 172.16.0.0 0.15.255.255
160 deny ip 172.17.96.0 0.0.0.255 10.7.208.0 0.0.0.255
170 permit tcp 172.17.96.0 0.0.0.255 any eq 80
180 permit tcp 172.17.96.0 0.0.0.255 any eq 443
190 deny ip any any (non obligatoire car implicite sur Cisco)
A mettre sur ton interface vlan en in, ou sur les autres en out.
C'est pour ça que tout passe dans ton réseau. Tes paquets ne sont traités par aucune ACL
Message édité par thom@s78 le 02-01-2014 à 19:28:43
Marsh Posté le 03-01-2014 à 15:04:07
| thom@s78 a écrit : 10 permit ip 172.17.96.0 0.0.0.255 host 172.16.0.183 |
En effet, c'est bien ça.
Merci beaucoup !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 
Mais je ne comprends pas pourquoi ça ne filtrait pas en out ....
Sujets relatifs:
- VISTA - Problème connexion routeur et internet
- Impossible connecter iPhone à Active Sync
- problème WDS et client léger
- Problème d'accès et de débit entre poste XP et 7
- Problème accès à distance hdd iomega home media network storage
- [RESOLU] problème dns sur un lab
- Problème résolution DNS / Ping --> changement de switchs
- Probléme de remonté OCS & Trend Micro
- Problème connexion internet
- Petit problème avec les ACL Nommées
Marsh Posté le 23-12-2013 à 09:19:54
Bonjour,
Je demande votre aide car je ne comprends pas ...
Je vous explique. J'ai un réseau (172.17.96.0 /24) que je voudrais isoler du reste de mon réseau et leur permettre l'accès uniquement à Internet. Ce réseau correspond à un vlan particulier qui est bien entendu routé au niveau de mes switchs coeur de réseau.
J'ai donc créé une ACL étendu afin de permettre le trafic à destination de certains serveurs spécifiques en interne (essentiellement DHCP et DNS). J'interdis le trafic à destination de tous mes réseaux internes. Et enfin, j'autorise le trafic à destination de tout (permit ip any any). Voilà, ça me semble correct (je peux peut-être me tromper ...) mais pourtant, ces machines arrivent à accéder à tout comme si l'ACL n'était pas en place.
Voici l'ACL en question :
10 permit ip 172.17.96.0 0.0.0.255 host 172.16.0.183
20 permit ip host 172.16.0.183 172.17.96.0 0.0.0.255
30 permit ip 172.17.96.0 0.0.0.255 host 172.16.0.184
40 permit ip host 172.16.0.184 172.17.96.0 0.0.0.255
50 permit ip 172.17.96.0 0.0.0.255 host 172.16.254.179
60 permit ip host 172.16.254.179 172.17.96.0 0.0.0.255
[...]
130 permit ip 172.17.96.0 0.0.0.255 host 172.17.200.95
140 permit ip host 172.17.200.95 172.17.96.0 0.0.0.255
150 deny ip 172.17.96.0 0.0.0.255 172.16.0.0 0.15.255.255
160 deny ip 172.17.96.0 0.0.0.255 10.7.208.0 0.0.0.255
170 permit ip any any
Ensuite, je l'applique sur mon interface vlan en sortie :
ip access-group 103 out
Qu'en pensez-vous ?
A mon avis, le problème ne vient pas de l'algo de mon ACL mais plus de son application car lorsque je rajoute un deny ip any any au début, tout reste autorisé ......
Merci à ceux qui m'aideront.