Sujet Précédent Sujet Suivant

Problème ACL cisco IP et ICMP

Résolu/Fermé
babar161 Messages postés 476 Date d'inscription jeudi 7 juin 2007 Statut Membre Dernière intervention 11 juillet 2011 - 15 janv. 2009 à 01:33
brupala Messages postés 109448 Date d'inscription lundi 16 juillet 2001 Statut Membre Dernière intervention 24 avril 2024 - 15 janv. 2009 à 17:06
Bonjour,

Bon alors voila, j'ai 2 Vlan sur un routeur cisco, et je souhaiterai mettre une ACL de facon à ce que le Vlan 2 soit invisible face au vlan 1, que les requete icmp soit bloqué entre vlan1 --> vlan 2, mais que les ping fonctionne entre vlan 2 --> vlan 1.

Voila ce que j'ai déjà essayé:

access-list 100 permit icmp 192.168.0.192 0.0.0.63 192.168.0.64 0.0.0.63 echo
access-list 100 deny ip 192.168.0.64 0.0.0.63 192.168.0.192 0.0.0.63
access-list 100 permit ip any any (any any parce que ya 1 autre vlan mais pour mon cas on s'en fout ^^)

Le problème est que mon paquet passe bien la première règle, mais est bloqué par la 2eme à chaque fois ... ce qui est logique mais je n'arrive pas a trouver l'astuce.

si une ame charitable veut bien m'aider :) au hazard...brupala par exemple ^^

bonne nuit ++

3 réponses

Réponse 1 / 3
jensenn Messages postés 9 Date d'inscription mercredi 14 janvier 2009 Statut Membre Dernière intervention 16 novembre 2009 1
15 janv. 2009 à 09:44
as tu essayé de rajouter une ACL en deuxieme ligne qui autorise la reponse à ton ping?

access-list 100 permit icmp 192.168.0.192 0.0.0.63 192.168.0.64 0.0.0.63 echo
access-list 100 permit icmp 192.168.0.64 0.0.0.63 192.168.0.192 0.0.0.63 reply
access-list 100 deny ip 192.168.0.64 0.0.0.63 192.168.0.192 0.0.0.63
access-list 100 permit ip any any (any any parce que ya 1 autre vlan mais pour mon cas on s'en fout ^^)

Je doute de la syntaxe exacte mais ca peut etre interessant de tester

Au plaisir
1
Réponse 2 / 3
brupala Messages postés 109448 Date d'inscription lundi 16 juillet 2001 Statut Membre Dernière intervention 24 avril 2024 13 620
15 janv. 2009 à 10:35
Salut,
oui,
peut-etre autoriser icmp echo-request (type 8-0) source vlan2 et icmp echo (type 0-0) source vlan 1 et bloquer tout ce qui source vlan1 d'autre .
mais bon,
il n'est jamais évident de bloquer un ping que dans un seul sens , surtout ça pose pas mal de questions quand on veut faire un diag derrière .
0
Nico le Vosgien Messages postés 1552 Date d'inscription vendredi 23 février 2007 Statut Contributeur Dernière intervention 19 novembre 2016 266
15 janv. 2009 à 14:48
Je n'avais pas vu : tu as même des post qui te sont directement adressés via le forum !!

Alors là : respect ;)
0
brupala Messages postés 109448 Date d'inscription lundi 16 juillet 2001 Statut Membre Dernière intervention 24 avril 2024 13 620 > Nico le Vosgien Messages postés 1552 Date d'inscription vendredi 23 février 2007 Statut Contributeur Dernière intervention 19 novembre 2016
15 janv. 2009 à 15:42
arf,
ça arrive,
mais c'est plus souvent pour m'engueuler :-))
0
babar161 Messages postés 476 Date d'inscription jeudi 7 juin 2007 Statut Membre Dernière intervention 11 juillet 2011 53 > brupala Messages postés 109448 Date d'inscription lundi 16 juillet 2001 Statut Membre Dernière intervention 24 avril 2024
15 janv. 2009 à 15:50
lol
nan mais comme j'ai remarquer que tu répondait souvent aux problèmes réseau Cisco, je me doutait bien que ca serai toi qui répondrait :)
Et au lieu de t'auto-flagellé, je dirait meme que tu réponds souveent bien aux questions! Ou du moins que tu réponds quand tu sais, et que tu le dis quand tu sais pas :)
0
brupala Messages postés 109448 Date d'inscription lundi 16 juillet 2001 Statut Membre Dernière intervention 24 avril 2024 13 620 > babar161 Messages postés 476 Date d'inscription jeudi 7 juin 2007 Statut Membre Dernière intervention 11 juillet 2011
15 janv. 2009 à 16:12
Sur le coup là,
je n'ai pas été bien performant pourtant avec mon echo-request ;-)
0
Réponse 3 / 3
babar161 Messages postés 476 Date d'inscription jeudi 7 juin 2007 Statut Membre Dernière intervention 11 juillet 2011 53
15 janv. 2009 à 14:43
yop! merci a tous les 2

effectivement, avec un echo-reply ca marche mieux :)
c'est con parce que dans mes tests je viens de voir que je l'avais mis....j'aavais pas du le mettre dans le bon ordre.
Finalement pour que ca marche:

access-list 100 permit icmp 192.168.0.192 0.0.0.63 192.168.0.64 0.0.0.63 echo-reply
access-list 100 deny ip 192.168.0.64 0.0.0.63 192.168.0.192 0.0.0.63
access-list 100 permit ip any any

Une question, en quoi cela peut etre génant pour le diagnostique si on autorise ICMP que dans un sens ?
Le but étant de cloitrer un Vlan par rapport a un autre de facon à ce que le Vlan 1 ne voit pas du tout le Vlan 2.
Mais que le Vlan 2 puisse voir si les PC du Vlan1 sont sur le réseau ou pas.
Et pour echo(request) et echo-reply, la différence est que echo (resquest) correspond au paquet "aller" de la requete ICMP, et que echo-reply correspond au paquet "retour" n'est-ce pas ? Ou c'est un peu plus complexe que ca ^^

Merci :)
0
brupala Messages postés 109448 Date d'inscription lundi 16 juillet 2001 Statut Membre Dernière intervention 24 avril 2024 13 620
15 janv. 2009 à 17:06
Une question, en quoi cela peut etre génant pour le diagnostique si on autorise ICMP que dans un sens ?

Vlan2 est le vlan des administrateurs ?
si ce sont des gens qui utilisent la fonctionnalité assez souvent ça va, mais si c'est occasionellement ou quelqu'un qui prend ça après, il va avoir du mal à comprendre .
par contre, le permit ip any any , ça fait drôle pour des vlans que l'on veut isoler ;-)
c'est une faille en quelque sorte .
sinon, oui , à ce niveau les paquets icmp sont différentiés par leurs octets type et code dans la syntaxe cisco echo correspond à type 8 et echo-reply au type 0 .
dans la config cisco, on peut mettre directement les valeurs de type et code .
Ca n'est pas beaucoup plus compliqué que ça pour le ping icmp (il existe des ping sous d'autres ports / protocoles mais icmp est installé partout) , il ya aussi le numéro de séquence , mais ça n'est géré que par machine qui participe au ping .
0