Les Allergies
Alimentaires
Posez votre question Signaler

Problème ACL cisco IP et ICMP [Résolu]

babar161 520Messages postés 7 juin 2007Date d'inscription 11 juillet 2011Dernière intervention - Dernière réponse le 15 janv. 2009 à 17:06
Bonjour,
Bon alors voila, j'ai 2 Vlan sur un routeur cisco, et je souhaiterai mettre une ACL de facon à ce que le Vlan 2 soit invisible face au vlan 1, que les requete icmp soit bloqué entre vlan1 --> vlan 2, mais que les ping fonctionne entre vlan 2 --> vlan 1.
Voila ce que j'ai déjà essayé:
access-list 100 permit icmp 192.168.0.192 0.0.0.63 192.168.0.64 0.0.0.63 echo
access-list 100 deny ip 192.168.0.64 0.0.0.63 192.168.0.192 0.0.0.63
access-list 100 permit ip any any (any any parce que ya 1 autre vlan mais pour mon cas on s'en fout ^^)
Le problème est que mon paquet passe bien la première règle, mais est bloqué par la 2eme à chaque fois ... ce qui est logique mais je n'arrive pas a trouver l'astuce.
si une ame charitable veut bien m'aider :) au hazard...brupala par exemple ^^
bonne nuit ++
Lire la suite 

Problème ACL cisco IP et ICMP »

8 réponses
Réponse
+0
moins plus
jensenn 6Messages postés 14 janvier 2009Date d'inscription 15 janv. 2009 à 09:44
as tu essayé de rajouter une ACL en deuxieme ligne qui autorise la reponse à ton ping?

access-list 100 permit icmp 192.168.0.192 0.0.0.63 192.168.0.64 0.0.0.63 echo
access-list 100 permit icmp 192.168.0.64 0.0.0.63 192.168.0.192 0.0.0.63 reply
access-list 100 deny ip 192.168.0.64 0.0.0.63 192.168.0.192 0.0.0.63
access-list 100 permit ip any any (any any parce que ya 1 autre vlan mais pour mon cas on s'en fout ^^)

Je doute de la syntaxe exacte mais ca peut etre interessant de tester

Au plaisir

 Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
brupala 36083Messages postés 16 juillet 2001Date d'inscription ModérateurStatut 28 mai 2012Dernière intervention 15 janv. 2009 à 10:35
Salut,
oui,
peut-etre autoriser icmp echo-request (type 8-0) source vlan2 et icmp echo (type 0-0) source vlan 1 et bloquer tout ce qui source vlan1 d'autre .
mais bon,
il n'est jamais évident de bloquer un ping que dans un seul sens , surtout ça pose pas mal de questions quand on veut faire un diag derrière .

Ajouter un commentaire - Site web
Afficher les 4 commentaires
brupala- 15 janv. 2009 à 15:42
arf,
ça arrive,
mais c'est plus souvent pour m'engueuler :-))
babar161- 15 janv. 2009 à 15:50
lol
nan mais comme j'ai remarquer que tu répondait souvent aux problèmes réseau Cisco, je me doutait bien que ca serai toi qui répondrait :)
Et au lieu de t'auto-flagellé, je dirait meme que tu réponds souveent bien aux questions! Ou du moins que tu réponds quand tu sais, et que tu le dis quand tu sais pas :)
brupala- 15 janv. 2009 à 16:12
Sur le coup là,
je n'ai pas été bien performant pourtant avec mon echo-request ;-)
Ajouter un commentaire
Réponse
+0
moins plus
babar161 520Messages postés 7 juin 2007Date d'inscription 11 juillet 2011Dernière intervention 15 janv. 2009 à 14:43
yop! merci a tous les 2

effectivement, avec un echo-reply ca marche mieux :)
c'est con parce que dans mes tests je viens de voir que je l'avais mis....j'aavais pas du le mettre dans le bon ordre.
Finalement pour que ca marche:

access-list 100 permit icmp 192.168.0.192 0.0.0.63 192.168.0.64 0.0.0.63 echo-reply
access-list 100 deny ip 192.168.0.64 0.0.0.63 192.168.0.192 0.0.0.63
access-list 100 permit ip any any

Une question, en quoi cela peut etre génant pour le diagnostique si on autorise ICMP que dans un sens ?
Le but étant de cloitrer un Vlan par rapport a un autre de facon à ce que le Vlan 1 ne voit pas du tout le Vlan 2.
Mais que le Vlan 2 puisse voir si les PC du Vlan1 sont sur le réseau ou pas.
Et pour echo(request) et echo-reply, la différence est que echo (resquest) correspond au paquet "aller" de la requete ICMP, et que echo-reply correspond au paquet "retour" n'est-ce pas ? Ou c'est un peu plus complexe que ca ^^

Merci :)

 Ajouter un commentaire
brupala- 15 janv. 2009 à 17:06
Une question, en quoi cela peut etre génant pour le diagnostique si on autorise ICMP que dans un sens ?

Vlan2 est le vlan des administrateurs ?
si ce sont des gens qui utilisent la fonctionnalité assez souvent ça va, mais si c'est occasionellement ou quelqu'un qui prend ça après, il va avoir du mal à comprendre .
par contre, le permit ip any any , ça fait drôle pour des vlans que l'on veut isoler ;-)
c'est une faille en quelque sorte .
sinon, oui , à ce niveau les paquets icmp sont différentiés par leurs octets type et code dans la syntaxe cisco echo correspond à type 8 et echo-reply au type 0 .
dans la config cisco, on peut mettre directement les valeurs de type et code .
Ca n'est pas beaucoup plus compliqué que ça pour le ping icmp (il existe des ping sous d'autres ports / protocoles mais icmp est installé partout) , il ya aussi le numéro de séquence , mais ça n'est géré que par machine qui participe au ping .
Ajouter un commentaire
Posez votre question
Ce document intitulé « Problème ACL cisco IP et ICMP » issu de CommentCaMarche (www.commentcamarche.net) est mis à disposition sous les termes de la licence Creative Commons. Vous pouvez copier, modifier des copies de cette page, dans les conditions fixées par la licence, tant que cette note apparaît clairement.
Dossier à la une
Passage au tout numérique : quel coût pour les particuliers ?