Access-List Interdire l'accès à un réseau sauf une adresse.
Résolu/Fermé
keuponED
Messages postés
15
Date d'inscription
jeudi 12 décembre 2013
Statut
Membre
Dernière intervention
8 janvier 2014
-
Modifié par keuponED le 12/12/2013 à 14:40
keuponED Messages postés 15 Date d'inscription jeudi 12 décembre 2013 Statut Membre Dernière intervention 8 janvier 2014 - 13 déc. 2013 à 20:26
keuponED Messages postés 15 Date d'inscription jeudi 12 décembre 2013 Statut Membre Dernière intervention 8 janvier 2014 - 13 déc. 2013 à 20:26
A voir également:
- Access-List Interdire l'accès à un réseau sauf une adresse.
- Darkino nouvelle adresse - Guide
- Rechercher ou entrer l'adresse - Guide
- Adresse mac - Guide
- Créer une adresse hotmail - Guide
- Votre envoi est sur le site qui dessert votre adresse. nous préparons sa distribution. ✓ - Forum Consommation & Internet
10 réponses
ciscowarrior
Messages postés
788
Date d'inscription
mercredi 2 novembre 2011
Statut
Membre
Dernière intervention
17 mai 2014
100
12 déc. 2013 à 15:34
12 déc. 2013 à 15:34
cette ligne n'est jamais matchée puisque dans la ligne juste avant tu as un deny avec la même source et même destination.
la syntaxe que je t'ai donné c'est pour éditer l'ACL, si tu veux retirer la dernière ligne:
ip access-list extended 102
no 30
puis tu ajoutes ta règle pour pinger le routeur
10 permit icmp 172.16.50.0 0.0.0.255 host 10.6.1.254 echo
Maintenant ton ACL tu devrais la mettre au plus près de la source càd en in sur l'interface de r1 dans le subnet libre service et dans ce cas si tu veux pinger le routeur, ne pas communiquer avec dmz ni avec admin:
Maintenant il faudrait voir les autres ACL où elles sont appliquées et dans quel sens:
sh ip interface | i Fast|Outgoing|Inbound
sh access-list
Alain
la syntaxe que je t'ai donné c'est pour éditer l'ACL, si tu veux retirer la dernière ligne:
ip access-list extended 102
no 30
puis tu ajoutes ta règle pour pinger le routeur
10 permit icmp 172.16.50.0 0.0.0.255 host 10.6.1.254 echo
Maintenant ton ACL tu devrais la mettre au plus près de la source càd en in sur l'interface de r1 dans le subnet libre service et dans ce cas si tu veux pinger le routeur, ne pas communiquer avec dmz ni avec admin:
ip access-list extended libre-service
permit ip 172.16.50.0 0.0.0.255 host 10.6.1.254
deny ip 172.16.50.0 0.0.0.255 193.168.1.0 0.0.0.255
deny ip 172.16.50.0 0.0.0.255 10.6.1.0 0.0.0.255
permit ip any any
int f0/x
descr to libre service
ip access-group libre-service in
int f0/3
no ip access-group 102 out
Maintenant il faudrait voir les autres ACL où elles sont appliquées et dans quel sens:
sh ip interface | i Fast|Outgoing|Inbound
sh access-list
Alain
ciscowarrior
Messages postés
788
Date d'inscription
mercredi 2 novembre 2011
Statut
Membre
Dernière intervention
17 mai 2014
100
12 déc. 2013 à 14:59
12 déc. 2013 à 14:59
où est appliquée l' ACL 102 ? sur R1 inbound sur l'interface du subnet libre service ?
Que veux-tu pouvoir pinger R2 ?
Dans ce cas:
ip access-list extended 102
10 permit icmp 172.16.50.0 0.0.0.255 host 10.6.1.254 echo
Alain
Que veux-tu pouvoir pinger R2 ?
Dans ce cas:
ip access-list extended 102
10 permit icmp 172.16.50.0 0.0.0.255 host 10.6.1.254 echo
Alain
keuponED
Messages postés
15
Date d'inscription
jeudi 12 décembre 2013
Statut
Membre
Dernière intervention
8 janvier 2014
12 déc. 2013 à 15:27
12 déc. 2013 à 15:27
Je viens d'essayer ça ne marche pas...
ok,
enlève tout ce que tu as fait et mets ceci:
1)Libre vers Internet seulement:
2) Admin vers Internet + DMZ:
enlève tout ce que tu as fait et mets ceci:
1)Libre vers Internet seulement:
ip access-list extended LIBRE_OFFICE
deny ip any 193.168.1.0 0.0.0.255
deny ip any 10.6.1.0 0.0.0.255
permit ip any any
int f5/0
ip access-group LIBRE_OFFICE in
2) Admin vers Internet + DMZ:
ip access-list extended Admin
deny ip any 172.16.50.0 0.0.0.255
permit ip any any
int f4/0
ip access-group Admin in
keuponED
Messages postés
15
Date d'inscription
jeudi 12 décembre 2013
Statut
Membre
Dernière intervention
8 janvier 2014
12 déc. 2013 à 15:08
12 déc. 2013 à 15:08
Toute les ACL sont sur le routeur du milieu "Router1" l' ACL 102 et sur l'interface du réseau de la DMZ (port Fa3/0) et depuis mon réseau Libre service (172.16.50.0/24) je veux pouvoir pinger donc le port du routeur "Router2" (port Fa4/0) qui à pour adresse 10.6.1.25, mais sans avoir accès (en gros) au serveur de la DMZ et donc du réseau 10.6.1.0/24
Ta solution me parait être pas mal, ducoup dans mon access list je dois enlever la ligne " access-list 102 permit ip 172.16.50.0 0.0.0.255 10.6.1.254 0.0.0.255" Et la remplacer par ce que tu me propose ?
Ta solution me parait être pas mal, ducoup dans mon access list je dois enlever la ligne " access-list 102 permit ip 172.16.50.0 0.0.0.255 10.6.1.254 0.0.0.255" Et la remplacer par ce que tu me propose ?
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
keuponED
Messages postés
15
Date d'inscription
jeudi 12 décembre 2013
Statut
Membre
Dernière intervention
8 janvier 2014
12 déc. 2013 à 15:59
12 déc. 2013 à 15:59
Le résultat du sh access-list:
https://imgur.com/a/nM41n
https://imgur.com/a/nM41n
ciscowarrior
Messages postés
788
Date d'inscription
mercredi 2 novembre 2011
Statut
Membre
Dernière intervention
17 mai 2014
100
12 déc. 2013 à 16:13
12 déc. 2013 à 16:13
tu peux retirer ton ACL 102 et tu ne mas pas donné la sortie de l'autre commande
Alain
Alain
keuponED
Messages postés
15
Date d'inscription
jeudi 12 décembre 2013
Statut
Membre
Dernière intervention
8 janvier 2014
Modifié par keuponED le 12/12/2013 à 16:25
Modifié par keuponED le 12/12/2013 à 16:25
C'est bon je l'ai retirer merci, et donc voila le dossier mis à jour avec le sh ip interface: https://imgur.com/a/nM41n le grep (| i Fast|Outgoing|Inbound ) n'a pas voulu marcher du coup j'ai fait un show général.
FastEthernet3/0 correspond à l'interface DMZ
FastEthernet4/0 correspond à l'interface Admin
FastEthernet5/0 correspond à l'interface Libre Service.
FastEthernet3/0 correspond à l'interface DMZ
FastEthernet4/0 correspond à l'interface Admin
FastEthernet5/0 correspond à l'interface Libre Service.
ok peux-tu maintenant dire exactement quel traffic(src/dst et protocole+ports) tu veux bloquer et quel traffic tu veux laisser passer comme ça on pourra simplifier tout cela car je pense que une seule ACL serait suffisante.
Alain
Alain
keuponED
Messages postés
15
Date d'inscription
jeudi 12 décembre 2013
Statut
Membre
Dernière intervention
8 janvier 2014
12 déc. 2013 à 23:22
12 déc. 2013 à 23:22
Donc pour faire simple comme indiquer sur le schéma, le réseau Libre service doit pouvoir avoir accès uniquement à internet simuler par un routeur Internet en haut à gauche, mais ne peux pas avoir accès ni au réseau Administration, ni au réseau DMZ.
Ensuite le réseau administration doit avoir accès à la DMZ et à internet mais pas au réseau Libre service.
Pour ce qui est de bloquer le réseau entre le libre service et l'administration il y a aucun soucis c'est lors du blocage entre le libre service et la DMZ que ça bloque car le port du routeur "router2" qui permet l'accès à internet est dans le sous réseau de la DMZ (10.6.1.0/24).
Voilà.
Ensuite le réseau administration doit avoir accès à la DMZ et à internet mais pas au réseau Libre service.
Pour ce qui est de bloquer le réseau entre le libre service et l'administration il y a aucun soucis c'est lors du blocage entre le libre service et la DMZ que ça bloque car le port du routeur "router2" qui permet l'accès à internet est dans le sous réseau de la DMZ (10.6.1.0/24).
Voilà.
keuponED
Messages postés
15
Date d'inscription
jeudi 12 décembre 2013
Statut
Membre
Dernière intervention
8 janvier 2014
13 déc. 2013 à 20:26
13 déc. 2013 à 20:26
Du coup c'est bon merci j'avais mis en place la première configuration que tu m'avais conseiller et ça à marché, Merci encore ça m'a bien aidée, très bon boulot ^^.
Merci et à bientôt.
Kévin.
Merci et à bientôt.
Kévin.
