Bonjour à tous,
 
Je n'arrive pas à régler un problème d'ACL sur un switch CISCO 3750, pouvez vous m'aider ?
 
Le travaille sur le filtrage du protocole SNMP (udp) à l'aide d'access-lists entre la DMZ et le réseau local.
 
Le superviseur SNMP est sur le réseau local en 173.17.1.13, les clients dans la DMZ 172.20.19.x
Je voudrais que les les réponses aux requêtes ne passent les ACL que si une requête a réellement été passée par le superviseur, en gros, faire du "session filtering".
 
Le superviseur reçoit bien les "traps" des machines de la DMZ.
Par contre, il ne reçoit pas de réponses à ses requêtes.
 
Plus de détails (tirés de wireshark sur un client) :
Les requêtes "get-next-request" partent du manager à partir d'un port aléatoire X vers le port 161 du client.
Les réponses "get-response" partent du client à partir du port 161 vers le même port aléatoire X du manager.
 
Je pense que les Reflexive ACL peuvent répondre à mon problème mais je n'arrive pas à les faire fonctionner :
 
Voici un extrait de la configuration :
 
configure terminal
ip access-list extended ACL_IN-101
evaluate traffic
deny ip any any log
exit
!
ip access-list extended test_out
permit udp any any reflect traffic
permit ip any any
exit
!
conf t
int vlan 101
ip access-group ACL_IN-101 in
ip access-group test_out out
end
 
Voici un extrait du show access-list :
 
Extended IP access list ACL_IN-101
 430 evaluate traffic
    440 deny ip any any log (666 matches)
Extended IP access list test_out
    10 permit udp any any reflect traffic
    20 permit ip any any
Reflexive IP access list traffic
 
Enlever l'access-list "out" et ajouter la list suivante dans "in" laisse passer les réponses :
permit udp 172.20.19.0 0.0.0.255 173.17.1.13
 
 
Des idées ?
 
W