Problème ACL cisco IP et ICMP [Résolu/Fermé]

Signaler
Messages postés
476
Date d'inscription
jeudi 7 juin 2007
Statut
Membre
Dernière intervention
11 juillet 2011
-
Messages postés
93061
Date d'inscription
lundi 16 juillet 2001
Statut
Modérateur
Dernière intervention
12 août 2020
-
Bonjour,

Bon alors voila, j'ai 2 Vlan sur un routeur cisco, et je souhaiterai mettre une ACL de facon à ce que le Vlan 2 soit invisible face au vlan 1, que les requete icmp soit bloqué entre vlan1 --> vlan 2, mais que les ping fonctionne entre vlan 2 --> vlan 1.

Voila ce que j'ai déjà essayé:

access-list 100 permit icmp 192.168.0.192 0.0.0.63 192.168.0.64 0.0.0.63 echo
access-list 100 deny ip 192.168.0.64 0.0.0.63 192.168.0.192 0.0.0.63
access-list 100 permit ip any any (any any parce que ya 1 autre vlan mais pour mon cas on s'en fout ^^)

Le problème est que mon paquet passe bien la première règle, mais est bloqué par la 2eme à chaque fois ... ce qui est logique mais je n'arrive pas a trouver l'astuce.

si une ame charitable veut bien m'aider :) au hazard...brupala par exemple ^^

bonne nuit ++

3 réponses

Messages postés
9
Date d'inscription
mercredi 14 janvier 2009
Statut
Membre
Dernière intervention
16 novembre 2009
1
as tu essayé de rajouter une ACL en deuxieme ligne qui autorise la reponse à ton ping?

access-list 100 permit icmp 192.168.0.192 0.0.0.63 192.168.0.64 0.0.0.63 echo
access-list 100 permit icmp 192.168.0.64 0.0.0.63 192.168.0.192 0.0.0.63 reply
access-list 100 deny ip 192.168.0.64 0.0.0.63 192.168.0.192 0.0.0.63
access-list 100 permit ip any any (any any parce que ya 1 autre vlan mais pour mon cas on s'en fout ^^)

Je doute de la syntaxe exacte mais ca peut etre interessant de tester

Au plaisir
1
Merci

Quelques mots de remerciements seront grandement appréciés. Ajouter un commentaire

CCM 57594 internautes nous ont dit merci ce mois-ci

Messages postés
93061
Date d'inscription
lundi 16 juillet 2001
Statut
Modérateur
Dernière intervention
12 août 2020
10 167
Salut,
oui,
peut-etre autoriser icmp echo-request (type 8-0) source vlan2 et icmp echo (type 0-0) source vlan 1 et bloquer tout ce qui source vlan1 d'autre .
mais bon,
il n'est jamais évident de bloquer un ping que dans un seul sens , surtout ça pose pas mal de questions quand on veut faire un diag derrière .
Messages postés
1551
Date d'inscription
vendredi 23 février 2007
Statut
Contributeur
Dernière intervention
19 novembre 2016
246
Je n'avais pas vu : tu as même des post qui te sont directement adressés via le forum !!

Alors là : respect ;)
Messages postés
93061
Date d'inscription
lundi 16 juillet 2001
Statut
Modérateur
Dernière intervention
12 août 2020
10 167 >
Messages postés
1551
Date d'inscription
vendredi 23 février 2007
Statut
Contributeur
Dernière intervention
19 novembre 2016

arf,
ça arrive,
mais c'est plus souvent pour m'engueuler :-))
Messages postés
476
Date d'inscription
jeudi 7 juin 2007
Statut
Membre
Dernière intervention
11 juillet 2011
36 >
Messages postés
93061
Date d'inscription
lundi 16 juillet 2001
Statut
Modérateur
Dernière intervention
12 août 2020

lol
nan mais comme j'ai remarquer que tu répondait souvent aux problèmes réseau Cisco, je me doutait bien que ca serai toi qui répondrait :)
Et au lieu de t'auto-flagellé, je dirait meme que tu réponds souveent bien aux questions! Ou du moins que tu réponds quand tu sais, et que tu le dis quand tu sais pas :)
Messages postés
93061
Date d'inscription
lundi 16 juillet 2001
Statut
Modérateur
Dernière intervention
12 août 2020
10 167 >
Messages postés
476
Date d'inscription
jeudi 7 juin 2007
Statut
Membre
Dernière intervention
11 juillet 2011

Sur le coup là,
je n'ai pas été bien performant pourtant avec mon echo-request ;-)
Messages postés
476
Date d'inscription
jeudi 7 juin 2007
Statut
Membre
Dernière intervention
11 juillet 2011
36
yop! merci a tous les 2

effectivement, avec un echo-reply ca marche mieux :)
c'est con parce que dans mes tests je viens de voir que je l'avais mis....j'aavais pas du le mettre dans le bon ordre.
Finalement pour que ca marche:

access-list 100 permit icmp 192.168.0.192 0.0.0.63 192.168.0.64 0.0.0.63 echo-reply
access-list 100 deny ip 192.168.0.64 0.0.0.63 192.168.0.192 0.0.0.63
access-list 100 permit ip any any

Une question, en quoi cela peut etre génant pour le diagnostique si on autorise ICMP que dans un sens ?
Le but étant de cloitrer un Vlan par rapport a un autre de facon à ce que le Vlan 1 ne voit pas du tout le Vlan 2.
Mais que le Vlan 2 puisse voir si les PC du Vlan1 sont sur le réseau ou pas.
Et pour echo(request) et echo-reply, la différence est que echo (resquest) correspond au paquet "aller" de la requete ICMP, et que echo-reply correspond au paquet "retour" n'est-ce pas ? Ou c'est un peu plus complexe que ca ^^

Merci :)
Messages postés
93061
Date d'inscription
lundi 16 juillet 2001
Statut
Modérateur
Dernière intervention
12 août 2020
10 167
Une question, en quoi cela peut etre génant pour le diagnostique si on autorise ICMP que dans un sens ?

Vlan2 est le vlan des administrateurs ?
si ce sont des gens qui utilisent la fonctionnalité assez souvent ça va, mais si c'est occasionellement ou quelqu'un qui prend ça après, il va avoir du mal à comprendre .
par contre, le permit ip any any , ça fait drôle pour des vlans que l'on veut isoler ;-)
c'est une faille en quelque sorte .
sinon, oui , à ce niveau les paquets icmp sont différentiés par leurs octets type et code dans la syntaxe cisco echo correspond à type 8 et echo-reply au type 0 .
dans la config cisco, on peut mettre directement les valeurs de type et code .
Ca n'est pas beaucoup plus compliqué que ça pour le ping icmp (il existe des ping sous d'autres ports / protocoles mais icmp est installé partout) , il ya aussi le numéro de séquence , mais ça n'est géré que par machine qui participe au ping .