Menu

Problème ACL cisco IP et ICMP [Résolu/Fermé]

Messages postés
480
Date d'inscription
jeudi 7 juin 2007
Statut
Membre
Dernière intervention
7 juillet 2011
- - Dernière réponse : brupala
Messages postés
84615
Date d'inscription
lundi 16 juillet 2001
Statut
Modérateur
Dernière intervention
17 juillet 2019
- 15 janv. 2009 à 17:06
Bonjour,

Bon alors voila, j'ai 2 Vlan sur un routeur cisco, et je souhaiterai mettre une ACL de facon à ce que le Vlan 2 soit invisible face au vlan 1, que les requete icmp soit bloqué entre vlan1 --> vlan 2, mais que les ping fonctionne entre vlan 2 --> vlan 1.

Voila ce que j'ai déjà essayé:

access-list 100 permit icmp 192.168.0.192 0.0.0.63 192.168.0.64 0.0.0.63 echo
access-list 100 deny ip 192.168.0.64 0.0.0.63 192.168.0.192 0.0.0.63
access-list 100 permit ip any any (any any parce que ya 1 autre vlan mais pour mon cas on s'en fout ^^)

Le problème est que mon paquet passe bien la première règle, mais est bloqué par la 2eme à chaque fois ... ce qui est logique mais je n'arrive pas a trouver l'astuce.

si une ame charitable veut bien m'aider :) au hazard...brupala par exemple ^^

bonne nuit ++
Afficher la suite 

3 réponses

Meilleure réponse
Messages postés
9
Date d'inscription
mercredi 14 janvier 2009
Statut
Membre
Dernière intervention
16 novembre 2009
1
1
Merci
as tu essayé de rajouter une ACL en deuxieme ligne qui autorise la reponse à ton ping?

access-list 100 permit icmp 192.168.0.192 0.0.0.63 192.168.0.64 0.0.0.63 echo
access-list 100 permit icmp 192.168.0.64 0.0.0.63 192.168.0.192 0.0.0.63 reply
access-list 100 deny ip 192.168.0.64 0.0.0.63 192.168.0.192 0.0.0.63
access-list 100 permit ip any any (any any parce que ya 1 autre vlan mais pour mon cas on s'en fout ^^)

Je doute de la syntaxe exacte mais ca peut etre interessant de tester

Au plaisir

Dire « Merci » 1

Quelques mots de remerciements seront grandement appréciés. Ajouter un commentaire

CCM 54657 internautes nous ont dit merci ce mois-ci

Messages postés
84615
Date d'inscription
lundi 16 juillet 2001
Statut
Modérateur
Dernière intervention
17 juillet 2019
7765
0
Merci
Salut,
oui,
peut-etre autoriser icmp echo-request (type 8-0) source vlan2 et icmp echo (type 0-0) source vlan 1 et bloquer tout ce qui source vlan1 d'autre .
mais bon,
il n'est jamais évident de bloquer un ping que dans un seul sens , surtout ça pose pas mal de questions quand on veut faire un diag derrière .
Nico le Vosgien
Messages postés
1554
Date d'inscription
vendredi 23 février 2007
Statut
Contributeur
Dernière intervention
19 novembre 2016
233 -
Je n'avais pas vu : tu as même des post qui te sont directement adressés via le forum !!

Alors là : respect ;)
brupala
Messages postés
84615
Date d'inscription
lundi 16 juillet 2001
Statut
Modérateur
Dernière intervention
17 juillet 2019
7765 > Nico le Vosgien
Messages postés
1554
Date d'inscription
vendredi 23 février 2007
Statut
Contributeur
Dernière intervention
19 novembre 2016
-
arf,
ça arrive,
mais c'est plus souvent pour m'engueuler :-))
babar161
Messages postés
480
Date d'inscription
jeudi 7 juin 2007
Statut
Membre
Dernière intervention
7 juillet 2011
24 > brupala
Messages postés
84615
Date d'inscription
lundi 16 juillet 2001
Statut
Modérateur
Dernière intervention
17 juillet 2019
-
lol
nan mais comme j'ai remarquer que tu répondait souvent aux problèmes réseau Cisco, je me doutait bien que ca serai toi qui répondrait :)
Et au lieu de t'auto-flagellé, je dirait meme que tu réponds souveent bien aux questions! Ou du moins que tu réponds quand tu sais, et que tu le dis quand tu sais pas :)
brupala
Messages postés
84615
Date d'inscription
lundi 16 juillet 2001
Statut
Modérateur
Dernière intervention
17 juillet 2019
7765 > babar161
Messages postés
480
Date d'inscription
jeudi 7 juin 2007
Statut
Membre
Dernière intervention
7 juillet 2011
-
Sur le coup là,
je n'ai pas été bien performant pourtant avec mon echo-request ;-)
Messages postés
480
Date d'inscription
jeudi 7 juin 2007
Statut
Membre
Dernière intervention
7 juillet 2011
24
0
Merci
yop! merci a tous les 2

effectivement, avec un echo-reply ca marche mieux :)
c'est con parce que dans mes tests je viens de voir que je l'avais mis....j'aavais pas du le mettre dans le bon ordre.
Finalement pour que ca marche:

access-list 100 permit icmp 192.168.0.192 0.0.0.63 192.168.0.64 0.0.0.63 echo-reply
access-list 100 deny ip 192.168.0.64 0.0.0.63 192.168.0.192 0.0.0.63
access-list 100 permit ip any any

Une question, en quoi cela peut etre génant pour le diagnostique si on autorise ICMP que dans un sens ?
Le but étant de cloitrer un Vlan par rapport a un autre de facon à ce que le Vlan 1 ne voit pas du tout le Vlan 2.
Mais que le Vlan 2 puisse voir si les PC du Vlan1 sont sur le réseau ou pas.
Et pour echo(request) et echo-reply, la différence est que echo (resquest) correspond au paquet "aller" de la requete ICMP, et que echo-reply correspond au paquet "retour" n'est-ce pas ? Ou c'est un peu plus complexe que ca ^^

Merci :)
brupala
Messages postés
84615
Date d'inscription
lundi 16 juillet 2001
Statut
Modérateur
Dernière intervention
17 juillet 2019
7765 -
Une question, en quoi cela peut etre génant pour le diagnostique si on autorise ICMP que dans un sens ?

Vlan2 est le vlan des administrateurs ?
si ce sont des gens qui utilisent la fonctionnalité assez souvent ça va, mais si c'est occasionellement ou quelqu'un qui prend ça après, il va avoir du mal à comprendre .
par contre, le permit ip any any , ça fait drôle pour des vlans que l'on veut isoler ;-)
c'est une faille en quelque sorte .
sinon, oui , à ce niveau les paquets icmp sont différentiés par leurs octets type et code dans la syntaxe cisco echo correspond à type 8 et echo-reply au type 0 .
dans la config cisco, on peut mettre directement les valeurs de type et code .
Ca n'est pas beaucoup plus compliqué que ça pour le ping icmp (il existe des ping sous d'autres ports / protocoles mais icmp est installé partout) , il ya aussi le numéro de séquence , mais ça n'est géré que par machine qui participe au ping .