Problème ACL cisco IP et ICMP
Résolu
babar161
Messages postés
476
Date d'inscription
Statut
Membre
Dernière intervention
-
brupala Messages postés 112052 Date d'inscription Statut Membre Dernière intervention -
brupala Messages postés 112052 Date d'inscription Statut Membre Dernière intervention -
Bonjour,
Bon alors voila, j'ai 2 Vlan sur un routeur cisco, et je souhaiterai mettre une ACL de facon à ce que le Vlan 2 soit invisible face au vlan 1, que les requete icmp soit bloqué entre vlan1 --> vlan 2, mais que les ping fonctionne entre vlan 2 --> vlan 1.
Voila ce que j'ai déjà essayé:
access-list 100 permit icmp 192.168.0.192 0.0.0.63 192.168.0.64 0.0.0.63 echo
access-list 100 deny ip 192.168.0.64 0.0.0.63 192.168.0.192 0.0.0.63
access-list 100 permit ip any any (any any parce que ya 1 autre vlan mais pour mon cas on s'en fout ^^)
Le problème est que mon paquet passe bien la première règle, mais est bloqué par la 2eme à chaque fois ... ce qui est logique mais je n'arrive pas a trouver l'astuce.
si une ame charitable veut bien m'aider :) au hazard...brupala par exemple ^^
bonne nuit ++
Bon alors voila, j'ai 2 Vlan sur un routeur cisco, et je souhaiterai mettre une ACL de facon à ce que le Vlan 2 soit invisible face au vlan 1, que les requete icmp soit bloqué entre vlan1 --> vlan 2, mais que les ping fonctionne entre vlan 2 --> vlan 1.
Voila ce que j'ai déjà essayé:
access-list 100 permit icmp 192.168.0.192 0.0.0.63 192.168.0.64 0.0.0.63 echo
access-list 100 deny ip 192.168.0.64 0.0.0.63 192.168.0.192 0.0.0.63
access-list 100 permit ip any any (any any parce que ya 1 autre vlan mais pour mon cas on s'en fout ^^)
Le problème est que mon paquet passe bien la première règle, mais est bloqué par la 2eme à chaque fois ... ce qui est logique mais je n'arrive pas a trouver l'astuce.
si une ame charitable veut bien m'aider :) au hazard...brupala par exemple ^^
bonne nuit ++
3 réponses
as tu essayé de rajouter une ACL en deuxieme ligne qui autorise la reponse à ton ping?
access-list 100 permit icmp 192.168.0.192 0.0.0.63 192.168.0.64 0.0.0.63 echo
access-list 100 permit icmp 192.168.0.64 0.0.0.63 192.168.0.192 0.0.0.63 reply
access-list 100 deny ip 192.168.0.64 0.0.0.63 192.168.0.192 0.0.0.63
access-list 100 permit ip any any (any any parce que ya 1 autre vlan mais pour mon cas on s'en fout ^^)
Je doute de la syntaxe exacte mais ca peut etre interessant de tester
Au plaisir
access-list 100 permit icmp 192.168.0.192 0.0.0.63 192.168.0.64 0.0.0.63 echo
access-list 100 permit icmp 192.168.0.64 0.0.0.63 192.168.0.192 0.0.0.63 reply
access-list 100 deny ip 192.168.0.64 0.0.0.63 192.168.0.192 0.0.0.63
access-list 100 permit ip any any (any any parce que ya 1 autre vlan mais pour mon cas on s'en fout ^^)
Je doute de la syntaxe exacte mais ca peut etre interessant de tester
Au plaisir
Salut,
oui,
peut-etre autoriser icmp echo-request (type 8-0) source vlan2 et icmp echo (type 0-0) source vlan 1 et bloquer tout ce qui source vlan1 d'autre .
mais bon,
il n'est jamais évident de bloquer un ping que dans un seul sens , surtout ça pose pas mal de questions quand on veut faire un diag derrière .
oui,
peut-etre autoriser icmp echo-request (type 8-0) source vlan2 et icmp echo (type 0-0) source vlan 1 et bloquer tout ce qui source vlan1 d'autre .
mais bon,
il n'est jamais évident de bloquer un ping que dans un seul sens , surtout ça pose pas mal de questions quand on veut faire un diag derrière .
lol
nan mais comme j'ai remarquer que tu répondait souvent aux problèmes réseau Cisco, je me doutait bien que ca serai toi qui répondrait :)
Et au lieu de t'auto-flagellé, je dirait meme que tu réponds souveent bien aux questions! Ou du moins que tu réponds quand tu sais, et que tu le dis quand tu sais pas :)
nan mais comme j'ai remarquer que tu répondait souvent aux problèmes réseau Cisco, je me doutait bien que ca serai toi qui répondrait :)
Et au lieu de t'auto-flagellé, je dirait meme que tu réponds souveent bien aux questions! Ou du moins que tu réponds quand tu sais, et que tu le dis quand tu sais pas :)
yop! merci a tous les 2
effectivement, avec un echo-reply ca marche mieux :)
c'est con parce que dans mes tests je viens de voir que je l'avais mis....j'aavais pas du le mettre dans le bon ordre.
Finalement pour que ca marche:
access-list 100 permit icmp 192.168.0.192 0.0.0.63 192.168.0.64 0.0.0.63 echo-reply
access-list 100 deny ip 192.168.0.64 0.0.0.63 192.168.0.192 0.0.0.63
access-list 100 permit ip any any
Une question, en quoi cela peut etre génant pour le diagnostique si on autorise ICMP que dans un sens ?
Le but étant de cloitrer un Vlan par rapport a un autre de facon à ce que le Vlan 1 ne voit pas du tout le Vlan 2.
Mais que le Vlan 2 puisse voir si les PC du Vlan1 sont sur le réseau ou pas.
Et pour echo(request) et echo-reply, la différence est que echo (resquest) correspond au paquet "aller" de la requete ICMP, et que echo-reply correspond au paquet "retour" n'est-ce pas ? Ou c'est un peu plus complexe que ca ^^
Merci :)
effectivement, avec un echo-reply ca marche mieux :)
c'est con parce que dans mes tests je viens de voir que je l'avais mis....j'aavais pas du le mettre dans le bon ordre.
Finalement pour que ca marche:
access-list 100 permit icmp 192.168.0.192 0.0.0.63 192.168.0.64 0.0.0.63 echo-reply
access-list 100 deny ip 192.168.0.64 0.0.0.63 192.168.0.192 0.0.0.63
access-list 100 permit ip any any
Une question, en quoi cela peut etre génant pour le diagnostique si on autorise ICMP que dans un sens ?
Le but étant de cloitrer un Vlan par rapport a un autre de facon à ce que le Vlan 1 ne voit pas du tout le Vlan 2.
Mais que le Vlan 2 puisse voir si les PC du Vlan1 sont sur le réseau ou pas.
Et pour echo(request) et echo-reply, la différence est que echo (resquest) correspond au paquet "aller" de la requete ICMP, et que echo-reply correspond au paquet "retour" n'est-ce pas ? Ou c'est un peu plus complexe que ca ^^
Merci :)
Une question, en quoi cela peut etre génant pour le diagnostique si on autorise ICMP que dans un sens ?
Vlan2 est le vlan des administrateurs ?
si ce sont des gens qui utilisent la fonctionnalité assez souvent ça va, mais si c'est occasionellement ou quelqu'un qui prend ça après, il va avoir du mal à comprendre .
par contre, le permit ip any any , ça fait drôle pour des vlans que l'on veut isoler ;-)
c'est une faille en quelque sorte .
sinon, oui , à ce niveau les paquets icmp sont différentiés par leurs octets type et code dans la syntaxe cisco echo correspond à type 8 et echo-reply au type 0 .
dans la config cisco, on peut mettre directement les valeurs de type et code .
Ca n'est pas beaucoup plus compliqué que ça pour le ping icmp (il existe des ping sous d'autres ports / protocoles mais icmp est installé partout) , il ya aussi le numéro de séquence , mais ça n'est géré que par machine qui participe au ping .
Vlan2 est le vlan des administrateurs ?
si ce sont des gens qui utilisent la fonctionnalité assez souvent ça va, mais si c'est occasionellement ou quelqu'un qui prend ça après, il va avoir du mal à comprendre .
par contre, le permit ip any any , ça fait drôle pour des vlans que l'on veut isoler ;-)
c'est une faille en quelque sorte .
sinon, oui , à ce niveau les paquets icmp sont différentiés par leurs octets type et code dans la syntaxe cisco echo correspond à type 8 et echo-reply au type 0 .
dans la config cisco, on peut mettre directement les valeurs de type et code .
Ca n'est pas beaucoup plus compliqué que ça pour le ping icmp (il existe des ping sous d'autres ports / protocoles mais icmp est installé partout) , il ya aussi le numéro de séquence , mais ça n'est géré que par machine qui participe au ping .
