Pb acl sur routeur
Fermé
lablem
-
16 févr. 2011 à 17:56
brupala Messages postés 106115 Date d'inscription lundi 16 juillet 2001 Statut Membre Dernière intervention 28 mars 2023 - 18 févr. 2011 à 07:54
brupala Messages postés 106115 Date d'inscription lundi 16 juillet 2001 Statut Membre Dernière intervention 28 mars 2023 - 18 févr. 2011 à 07:54
A voir également:
- Pb acl sur routeur
- Qu'est ce qu'un routeur - Astuces et Solutions
- Mot de passe routeur globalnet ✓ - Forum Réseau
- Ou se trouve le routeur - Forum Internet / Réseaux sociaux
- 192.168.1.1 configuration du routeur - Guide
- Routeur virtuel - Télécharger - Divers Réseau & Wi-Fi
3 réponses
brupala
Messages postés
106115
Date d'inscription
lundi 16 juillet 2001
Statut
Membre
Dernière intervention
28 mars 2023
13 804
16 févr. 2011 à 18:25
16 févr. 2011 à 18:25
salut,
tu veux filtrer qui /que /quoi ?
tu veux filtrer qui /que /quoi ?
il y a en fait qu'un serveur de chaque côté qui doivent communiquer
brupala
Messages postés
106115
Date d'inscription
lundi 16 juillet 2001
Statut
Membre
Dernière intervention
28 mars 2023
13 804
17 févr. 2011 à 17:36
17 févr. 2011 à 17:36
En fait ton problème c'est que le reste du traffic en les deux réseau passe, mais en non crypté parceque la règle ipsec ne crypte que le traffic entre les deux serveurs.
il faudrait peut-tre que tu passes par une vraie interface tunnel où tu pourrais filtrer le plus finement le traffic:
https://www.cisco.com/en/US/docs/ios/12_3t/12_3t14/feature/guide/gtIPSctm.html
ensuite tu mets ton access-list autorisant uniquement tes deux serveurs sur l'interface tunnel en out.
il faudrait peut-tre que tu passes par une vraie interface tunnel où tu pourrais filtrer le plus finement le traffic:
https://www.cisco.com/en/US/docs/ios/12_3t/12_3t14/feature/guide/gtIPSctm.html
ensuite tu mets ton access-list autorisant uniquement tes deux serveurs sur l'interface tunnel en out.
permit tcp host 10.55.*.* host 10.1.*.* established
permit icmp host 10.55.*.* host 10.1.*.* echo-reply
A mettre en in de l'interface de 10.1.0.0
J'ai écrit les acl comme sur cisco y'a peut être des modifs a faire
Toute les connexion tcp initialisé par 10.1.*.* passerons pas celle initialisé par 10.55
Le permit icmp est pour le ping.
Si t'as besoin d'ouvrir des ports udp:
permit udp host 10.55.*.* host 10.1.*.* eq "numéro du port sur le serveur 10.1.*.*"
Pour l'interface du réseau 10.55.*.*
permit ip host 10.1.*.* host 10.55.*.*
permit icmp host 10.55.*.* host 10.1.*.* echo-reply
A mettre en in de l'interface de 10.1.0.0
J'ai écrit les acl comme sur cisco y'a peut être des modifs a faire
Toute les connexion tcp initialisé par 10.1.*.* passerons pas celle initialisé par 10.55
Le permit icmp est pour le ping.
Si t'as besoin d'ouvrir des ports udp:
permit udp host 10.55.*.* host 10.1.*.* eq "numéro du port sur le serveur 10.1.*.*"
Pour l'interface du réseau 10.55.*.*
permit ip host 10.1.*.* host 10.55.*.*
brupala
Messages postés
106115
Date d'inscription
lundi 16 juillet 2001
Statut
Membre
Dernière intervention
28 mars 2023
13 804
18 févr. 2011 à 07:54
18 févr. 2011 à 07:54
il faudrait qu'il monte dynamiquement par un virtual-template pour ça, je pense, sinon elle n'apparait pas en config, c'est difficile.
17 févr. 2011 à 10:28
sachant que 10.1.X doit avoir accés à tout 10.55.X et que 10.55.X doit pouvoir pinguer et faire du SSH sur 10.1.X
cdlt
17 févr. 2011 à 10:36
permit ip host 10.1.*.** host 10.55.*.***
pourquoi permit ip host bidule ?
pourquoi pas tout le subnet 10.1.0.0/16 vers 10.55.0.0/16 ?