Aide svp , access-list
Fermé
hottsauce
Messages postés
83
Date d'inscription
samedi 16 juin 2007
Statut
Membre
Dernière intervention
7 avril 2011
-
3 août 2007 à 19:52
Spearhead Messages postés 355 Date d'inscription lundi 23 juillet 2007 Statut Membre Dernière intervention 29 décembre 2007 - 9 août 2007 à 00:34
Spearhead Messages postés 355 Date d'inscription lundi 23 juillet 2007 Statut Membre Dernière intervention 29 décembre 2007 - 9 août 2007 à 00:34
A voir également:
- Aide svp , access-list
- List disk - Guide
- Directory list & print - Télécharger - Divers Utilitaires
- Access appdata - Guide
- Avis stream access ✓ - Forum Virus
- Zn-401s code list ✓ - Forum Téléviseurs
2 réponses
Spearhead
Messages postés
355
Date d'inscription
lundi 23 juillet 2007
Statut
Membre
Dernière intervention
29 décembre 2007
116
3 août 2007 à 22:14
3 août 2007 à 22:14
C'est pas la premiere fois que tu post a ce sujet !!!
Je vais tenter de te réexpliquer :
Tout d'abord, une access-list contient un deny all implicite a la fin :
On ne doit pas autoriser tout mais simplement ce que l'on veut. Tout le reste est refusé.
Une access-list = une suite de test
MAIS
Une fois qu'un paquet a matché une condition, il est soit accepté soit refusé, mais il ne passe pas les tests suivants !!!
Ce que tu as fait est correcte mais ca n'est pas optimale.
l'idéal serait : access-list 101 permit ip 192.168.0.0 0.0.0.254 any
Autrement dit on refuse tout sauf les adresses de 192.168.0.2 a 192.168.0.255
que tu appliquerai sur l'interface IN
Attention, il n'est pas possible de pouvoir pinger un hote qui ne peut pas pinger : pour pouvoir pinger, il faut que le paquet ICMP passe de l'hote piguant vers l'hote pigué, puis que l'hote pingué réponde a l'hote pinguant !!! Si tu bloque l'accès de l'hote que tu veux pingué au réseau, il ne pourra pas répondre et donc jamais etre pingué !!!
Je vais tenter de te réexpliquer :
Tout d'abord, une access-list contient un deny all implicite a la fin :
On ne doit pas autoriser tout mais simplement ce que l'on veut. Tout le reste est refusé.
Une access-list = une suite de test
MAIS
Une fois qu'un paquet a matché une condition, il est soit accepté soit refusé, mais il ne passe pas les tests suivants !!!
Ce que tu as fait est correcte mais ca n'est pas optimale.
l'idéal serait : access-list 101 permit ip 192.168.0.0 0.0.0.254 any
Autrement dit on refuse tout sauf les adresses de 192.168.0.2 a 192.168.0.255
que tu appliquerai sur l'interface IN
Attention, il n'est pas possible de pouvoir pinger un hote qui ne peut pas pinger : pour pouvoir pinger, il faut que le paquet ICMP passe de l'hote piguant vers l'hote pigué, puis que l'hote pingué réponde a l'hote pinguant !!! Si tu bloque l'accès de l'hote que tu veux pingué au réseau, il ne pourra pas répondre et donc jamais etre pingué !!!
hottsauce
Messages postés
83
Date d'inscription
samedi 16 juin 2007
Statut
Membre
Dernière intervention
7 avril 2011
5
8 août 2007 à 21:05
8 août 2007 à 21:05
grand MERCI MR "Spearhead" je vien de comprendre maintenant pourquoi je peux pas pinguer l'autre hote j'ai vraiment oublié que le hote qui est pinguer envoi à son tour des paquet pour repondre celui qui a pinguer ce qui 'est impossible dans notre cas MEEEEERCI ;)
Spearhead
Messages postés
355
Date d'inscription
lundi 23 juillet 2007
Statut
Membre
Dernière intervention
29 décembre 2007
116
8 août 2007 à 21:15
8 août 2007 à 21:15
mais de rien !
9 août 2007 à 00:19
tu as très bien expliqué le fonctionnement de l'access-list mais,
un filtre permit 192.168.0.0 0.0.0.254 bloque en fait effectivement 192.168.0.1 et 192.168.0.255 , mais également TOUTES les adresses impaires (sur le dernier octet) entre 192.168.0.2 et 192.168.0.254 .
.3,.5,.7 .....
en fait, il n'autorise que .2, .4, .6 ,.8 .....
9 août 2007 à 00:34