Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
2407 connectés 

 



 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

ACL cisco

n°45552
Pims
Posté le 04-11-2008 à 14:12:02  profilanswer
 

Hello,
 
Nous avons ajouté un nouveau réseau wifi chez nous et je compte router et filtrer le trafic avec un routeur Cisco.
 
Voilà nos besoins:
 
Autoriser uniquement le port TCP 5555 et le ping depuis le réseau wifi (172.18.0.0/16) vers un de nos serveurs (172.16.0.30).
 
Tout autoriser depuis notre réseau vers notre réseau Wifi.
 
J'ai appliquer ça mais j'ai un souci:
 

Code :
  1. access-list 101 permit tcp 172.18.0.0 0.0.255.255 host 172.16.0.30 eq 5555
  2. access-list 101 permit icmp 172.18.0.0 0.0.255.255 host 172.16.0.30


 
En appliquant ça je ne peux plus faire de ping depuis notre réseau vers le réseau wifi depuis une autre machine que le serveur 172.16.0.30... normal vu que ICMP est autorisé que vers ce serveur.
 
Comment faire simple?
autoriser le echo reply vers tout notre réseau?
utiliser le paramètre "Established" pour autoriser les connexion TCP établies? (pour VNC entre autre)
 
Thx :)


---------------
Life is like a box of chocolate you never know what you gonna get.
mood
Publicité
Posté le 04-11-2008 à 14:12:02  profilanswer
 

n°45631
Pims
Posté le 05-11-2008 à 11:03:51  profilanswer
 

et bien alors? parmis tous les experts présents ici, personne n'est capable de faire 3 ACL cisco? :D

n°45680
shinmaki
Posté le 05-11-2008 à 19:21:43  profilanswer
 

Je ne suis pas sûr que le routeur matche les flux retours.

n°45705
Pims
Posté le 06-11-2008 à 08:44:08  profilanswer
 

Pour le moment non, il ne les reconnait pas.
Comment faire?

n°45719
jagstang
Pa Capona ಠ_ಠ
Posté le 06-11-2008 à 11:01:25  profilanswer
 

ben tu rajoutes la ligne dans l'ACL... je ne comprends pas où est le problème franchement... Qu'entends-tu pas "notre" réseau (lequel ?)
 


---------------
What if I were smiling and running into your arms? Would you see then what I see now?  
n°45721
Pims
Posté le 06-11-2008 à 11:04:54  profilanswer
 

Dans un sens je veux autoriser que le ping et le TCP 5555 et dans l'autre tout.
 
Seulement les paquets retours sont bloqués par mon ACL 101.
 
Si je rajoute une ligne autorisant le ping depuis le réseau Wifi vers le LAN la première restriction n'est plus bonne.

n°45728
mmc
Posté le 06-11-2008 à 13:36:49  profilanswer
 

Le routeur ne laissait pas passer la réponse du serveur 172.16.0.30 (echo-reply)
 
   1. access-list 101 permit tcp 172.18.0.0 0.0.255.255 host 172.16.0.30 eq 5555
   2. access-list 101 permit icmp 172.18.0.0 0.0.255.255 host 172.16.0.30 echo
   3. access-list 101 permit icmp host 172.16.0.30 172.18.0.0 0.0.255.255 echo-reply
   4. access-list 101 deny ip any any


Message édité par mmc le 06-11-2008 à 13:53:36
n°45729
Pims
Posté le 06-11-2008 à 13:49:16  profilanswer
 

merci mmc mais le ping depuis le réseau 172.18.0.0 fonctionne vers le 172.16.0.30.
 
Ce que je voudrais c'est pouvoir pinguer depuis mon LAN 172.16.0.0 n'importe quelle machine du WLAN 172.18.0.0
 
Dans ta proposition je ne pense pas que ca passe non plus :/ .

n°45730
mmc
Posté le 06-11-2008 à 14:01:32  profilanswer
 

1. access-list 101 permit tcp 172.18.0.0 0.0.255.255 host 172.16.0.30 eq 5555
2. access-list 101 permit icmp 172.16.0.0 0.0.255.255 172.18.0.0 0.0.255.255 echo
3. access-list 101 permit icmp 172.18.0.0 0.0.255.255 172.16.0.0 0.0.255.255 echo-reply
4. access-list 101 permit icmp any 172.16.0.0 0.0.255.255 time-exceeded
5. access-list 101 deny ip any any
 
Ils ont des firewalls tes machines sur le réseau 172.18.0.0 ou le 172.16.0.0 ?


Message édité par mmc le 06-11-2008 à 14:09:12
n°45732
Pims
Posté le 06-11-2008 à 14:14:45  profilanswer
 

non, mes clients n'ont pas de firewall.
 
Imaginons que je veuille autoriser le port 5900 tcp (de 172.16 vers 172.18) ou un autre tcp il me faut:
 
access-list 101 permit tcp 172.18.0.0 0.0.255.255 host 172.16.0.00 eq 5900 established
 
Avec l'ACL appliquée sur l'interface 172.18.0.254 en IN ?

mood
Publicité
Posté le 06-11-2008 à 14:14:45  profilanswer
 

n°45747
mmc
Posté le 06-11-2008 à 18:32:29  profilanswer
 

Oui, mais plutôt alors :
 
access-list 101 permit tcp 172.18.0.0 0.0.255.255 172.16.0.0 0.0.255.255 eq 5900 established  
et pas:  
 

Pims a écrit :


access-list 101 permit tcp 172.18.0.0 0.0.255.255 host 172.16.0.00 eq 5900 established


 
Autre exemple pour le ping :
interface ethernet0/0 (IP interface entrée/sortie 172.18.0.254 ou vers réseau 172.18.0.0)
 
ip access-group 101 in
 
 
access-list 101 permit tcp 172.18.0.0 0.0.255.255 host 172.16.0.30 eq 5555  
access-list 101 permit icmp 172.18.0.0 0.0.255.255 172.16.0.0 0.0.255.255 echo-reply
access-list 101 permit icmp any 172.16.0.0 0.0.255.255 time-exceeded  
access-list 101 deny ip any any
 
ip access-group 102 out
 
access-list 102 permit tcp host 172.16.0.30 eq 5555 172.18.0.0 0.0.255.255
access-list 102 permit icmp 172.16.0.0 0.0.255.255 172.18.0.0 0.0.255.255 echo
access-list 102 deny ip any any


Message édité par mmc le 24-11-2008 à 14:01:03
n°45749
dreamer18
CDLM
Posté le 06-11-2008 à 18:43:22  profilanswer
 

rajoute le mot clé "log" à la fin de tes ACLs pour voir quelle ligne bloque.


Message édité par dreamer18 le 06-11-2008 à 18:43:30

---------------
"Parceque toi tu fracasses du migrant à la batte de baseball, c'est ça ?" - Backbone-
n°46401
Pims
Posté le 24-11-2008 à 12:02:00  profilanswer
 

hello,
 
J'ai reçu le routeur et je mets en place la conf réelle maintenant (fini packet tracer :) )
 
Quelle est l'avantage de ta solution avec 101 in et 102 out?
 
Si jamais je peux dans ce cas mettre la 101 in sur mon interface fa0/0 et la 102 sur fa0/1 en in aussi plutôt que sur la fa0/0 en out non?

n°46416
mmc
Posté le 24-11-2008 à 14:03:30  profilanswer
 

Tout dépend ce que tu veux faire.
 
Si tu as l'intention de laisser passer tout les autres protocoles sur d'autres réseaux ou interfaces.
La 1er solution est la plus appropriée.
 
Par contre, si tu n'as pas utilité de laisser passer d'autres protocoles vers d'autres réseaux ou interfaces.  
L'acl sera plus approprié sur Fa0/1 en "in" .

n°46418
Pims
Posté le 24-11-2008 à 14:07:44  profilanswer
 

Oui, ce routeur est là uniquement pour router ces deux réseaux et filtrer. Rien d'autre dessus.
 
Je vais mettre la 101 en in sur fa0/0 et la 102 en in sur fa0/1
 
enfin celles ci car j'aimerai faire du VNC et du HTTP vers ce réseau quand même.

Code :
  1. 101:
  2. access-list 101 remark in depuis wifi
  3. access-list 101 permit tcp 172.18.0.0 0.0.255.255 host 172.16.0.30 eq 5555 log
  4. access-list 101 permit icmp 172.18.0.0 0.0.255.255 host 172.16.0.30 log
  5. access-list 101 permit tcp 172.18.0.0 0.0.255.255 172.16.0.0 0.0.255.255 eq 5900 established log
  6. access-list 101 permit tcp 172.18.0.0 0.0.255.255 172.16.0.0 0.0.255.255 eq 80 established log
  7. access-list 101 permit icmp 172.18.0.0 0.0.255.255 172.16.0.0 0.0.255.255 echo-reply log
  8. access-list 101 permit icmp any 172.16.0.0 0.0.255.255 time-exceeded log
  9. access-list 101 deny ip any any log
  10. 102:
  11. access-list 102 remark in vers wifi
  12. access-list 102 permit tcp host 172.16.0.30 eq 5555 172.18.0.0 0.0.255.255 log
  13. access-list 102 permit icmp host 172.16.0.30 172.18.0.0 0.0.255.255 echo-reply log
  14. access-list 101 permit tcp 172.16.0.0 0.0.255.255 172.18.0.0 eq 5900 log
  15. access-list 101 permit tcp 172.16.0.0 0.0.255.255 172.18.0.0 eq 80 log
  16. access-list 102 permit icmp 172.16.0.0 0.0.255.255 172.18.0.0 0.0.255.255 echo log
  17. access-list 102 deny ip any any log


 
Merci beaucoup en tout cas.

Message cité 1 fois
Message édité par Pims le 24-11-2008 à 14:12:32

---------------
Life is like a box of chocolate you never know what you gonna get.
n°46480
Pims
Posté le 25-11-2008 à 14:00:30  profilanswer
 

Encore un souci :-/
Avec mes ACL si dessus, je n'arrive pas à accéder à un serveur web sur le réseau 172.18.0.0.
Pourtant ça devrait non?
(je suis encore sous "packet tracer".

n°46488
mmc
Posté le 25-11-2008 à 14:34:28  profilanswer
 

Pims a écrit :


...

Code :
  1. ...
  2. 102:
  3. access-list 102 remark in vers wifi
  4. access-list 102 permit tcp host 172.16.0.30 eq 5555 172.18.0.0 0.0.255.255 log
  5. access-list 102 permit icmp host 172.16.0.30 172.18.0.0 0.0.255.255 echo-reply log
  6. access-list 101 permit tcp 172.16.0.0 0.0.255.255 172.18.0.0 eq 5900 log
  7. --> access-list 101 permit tcp 172.16.0.0 0.0.255.255 172.18.0.0 0.0.255.255 eq 5900 log
  8. access-list 101 permit tcp 172.16.0.0 0.0.255.255 172.18.0.0 eq 80 log
  9. --> access-list 101 permit tcp 172.16.0.0 0.0.255.255 172.18.0.0 0.0.255.255 eq 80 established log
  10. access-list 102 permit icmp 172.16.0.0 0.0.255.255 172.18.0.0 0.0.255.255 echo log
  11. access-list 102 deny ip any any log


 


 
Ci-dessus, en bleu, il est préférable de préciser le masque réseau destinataire.


Message édité par mmc le 25-11-2008 à 14:37:21
n°46489
Pims
Posté le 25-11-2008 à 14:44:01  profilanswer
 

Code :
  1. access-list 101 remark in depuis wifi
  2. access-list 101 permit tcp 172.18.0.0 0.0.255.255 host 172.16.0.30 eq 5555
  3. access-list 101 permit icmp 172.18.0.0 0.0.255.255 host 172.16.0.30
  4. access-list 101 permit tcp 172.18.0.0 0.0.255.255 172.16.0.0 0.0.255.255 eq www established
  5. access-list 101 permit icmp 172.18.0.0 0.0.255.255 172.16.0.0 0.0.255.255 echo-reply
  6. access-list 101 deny ip any any
  7. access-list 102 remark out vers wifi
  8. access-list 102 permit tcp host 172.16.0.30 eq 5555 172.18.0.0 0.0.255.255
  9. access-list 102 permit icmp host 172.16.0.30 172.18.0.0 0.0.255.255 echo-reply
  10. access-list 102 permit tcp 172.16.0.0 0.0.255.255 172.18.0.0 0.0.255.255 eq www
  11. access-list 102 permit icmp 172.16.0.0 0.0.255.255 172.18.0.0 0.0.255.255 echo
  12. access-list 102 deny ip any any


 
Erreur dans mes captures, voilà les deux ACL que j'ai en réalité.
 


---------------
Life is like a box of chocolate you never know what you gonna get.
n°46575
Pims
Posté le 27-11-2008 à 09:38:57  profilanswer
 

personne n'a une petite idée? mmc? :D
ou alors c'est packet tracer qui déconne et ça devrait marcher?

n°46581
dreamer18
CDLM
Posté le 27-11-2008 à 11:08:00  profilanswer
 

fais le test en ajoutant le mot clé "log" sur tes ACL pour voir où ça coicne


---------------
"Parceque toi tu fracasses du migrant à la batte de baseball, c'est ça ?" - Backbone-
n°46587
Pims
Posté le 27-11-2008 à 11:45:30  profilanswer
 

dreamer18 a écrit :

fais le test en ajoutant le mot clé "log" sur tes ACL pour voir où ça coicne


 
Oui, merci, j'ai mis "log" sur les ACL de mon routeur mais sur ma simulation packet tracer ce n'est pas supporté.


---------------
Life is like a box of chocolate you never know what you gonna get.
n°46828
Pims
Posté le 01-12-2008 à 16:18:53  profilanswer
 

Je suis tjrs bloqué ici, personne pour un coup de pouce?

n°47201
Pims
Posté le 10-12-2008 à 16:09:21  profilanswer
 

Tjrs impossible de faire ce que je veux, j'ai désactivé mon ACL 102 et j'ai changé la 101 en:
 
# access-list 101 remark in depuis wifi
# access-list 101 permit tcp 172.18.0.0 0.0.255.255 host 172.16.0.30 eq 5555
# access-list 101 permit icmp 172.18.0.0 0.0.255.255 host 172.16.0.30
# access-list 101 permit tcp 172.18.0.0 0.0.255.255 172.16.0.0 0.0.255.255 eq www
# access-list 101 permit icmp 172.18.0.0 0.0.255.255 172.16.0.0 0.0.255.255 echo-reply
# access-list 101 deny ip any any
 
J'ai donc enlevé le "established" mais c'est tjrs pareil, pas moyen d'accèder à mon serveur web sur le réseau 172.18... :-/


Message édité par Pims le 10-12-2008 à 16:09:34
n°47739
mongalol
Posté le 23-12-2008 à 22:22:43  profilanswer
 

fr

n°47745
Pims
Posté le 24-12-2008 à 08:44:01  profilanswer
 

Oui? tu as qqch à dire?
 

n°48117
rootshell
Posté le 11-01-2009 à 18:20:46  profilanswer
 

Pims, je te conseil un forum dédier à Cisco et en français :  
 
http://forum.labo-cisco.com

n°48187
nek_kro_kv​lt
Posté le 13-01-2009 à 11:14:22  profilanswer
 

Voir réponse sur le forum du labo :
Utilise des ACL reflexive ou mieu du CBAC si tu as un IOS secu (advsecurity ou K9 dans le nom de l'image)
 
pour une ACL reflexive, tu mets ça sur l'interface reliée à ton réseau filaire en IN:
access-list 101 permit ip any any reflect myiptraffic
 
et en in sur l'interface wifi
 
access-list 102 permit tcp 172.18.0.0 0.0.255.255 host 172.16.0.30 eq 5555
access-list 102 permit icmp 172.18.0.0 0.0.255.255 host 172.16.0.30
access-list 102 evaluate myiptraffic
 
 
En gros, tout ce qui est autorisé par l'acl 101 est mis en mémoire dans une table myiptraffic, et l'acl 102 vérifie si le traffic correspond aux entrées de cette table.
 
Si t'as du crypto:
ip inspect name myrule ?
tu choisi tes protocoles
 
et sur tin interface filaire
ip inspect myrule in
 
voila:)

mood
Publicité
Posté le   profilanswer
 


Aller à :
Ajouter une réponse
 

Sujets relatifs
Poe, Switch Netgear FS728TP et Cisco Aironet 1100[ACL] Gestion des acces sur Windows Server 2003R2
Default-router IPv6 sur Cisco 2960Question sur des switchs Cisco Catalyst
IPv6 sur edge cisco 3550Switch Cisco Catalyst 2900 qui déconne (alimentation?)
QoS CiscoACL cisco pix 515e
Recherche IOS Cisco 871 
Plus de sujets relatifs à : ACL cisco


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR