ACL avec un Routage Inter-VLAN
Fermé
mister-chikite
Messages postés
18
Date d'inscription
mercredi 1 juin 2011
Statut
Membre
Dernière intervention
16 novembre 2016
-
4 mars 2013 à 17:48
brupala Messages postés 110566 Date d'inscription lundi 16 juillet 2001 Statut Membre Dernière intervention 28 novembre 2024 - 8 mars 2013 à 12:56
brupala Messages postés 110566 Date d'inscription lundi 16 juillet 2001 Statut Membre Dernière intervention 28 novembre 2024 - 8 mars 2013 à 12:56
5 réponses
Bonjour,
ATTENTION avec les IP.
Sur ton schéma, tu as :
VLAN 10 : 192.168.1.0
VLAN 20 : 192.168.2.0
Et sur ton explication, tu as :
VLAN 10 : 192.168.10.0
VLAN 20 : 192.168.20.0
Je vais partir sur les adresses du schéma.
Si tu veux mettre une ACL qui empêchent n'importe qui d'accéder au VLAN 10 :
access-list 100 deny ip any 192.168.1.0 0.0.0.255
Et tu la places sur l'interface vers les LAN du routeur (en IN ou en OUT, à toi de tester, je ne vais pas tout te donner non plus^^).
Pour que le VLAN 20 communique avec tous les VLANs :
access-list 100 permit ip 192.168.2.0 ... (à toi de trouver la suite, si tu as compris la première, la deuxième fonctionne pareil dans l'autre sens)
On peut le faire avec des ACLs standards aussi si on veut mais j'aime les étendues :).
Après si tu voulais faire un truc un peu plus précis du style empêcher au VLAN 10 d'accéder à un serveur web par exemple qui serait avec le serveur DHCP de ton schéma :
access-list 100 deny tcp 192.168.1.0 0.0.0.255 [IP_ET_WILDCARD_MASK_SERVEUR_DHCP] eq 80
Si c'était un serveur DNS ATTENTION :
access-list 100 deny udp 192.168.1.0 0.0.0.255 [IP_ET_WILDCARD_MASK_SERVEUR_DNS] eq 53
Pour placer l'ACL sur une interface c'est simple :
enable
configure terminal
interface [n° de l'interface]
ip access-group [n° de l'ACL, ici 100] [in OU out]
Bon courage
ATTENTION avec les IP.
Sur ton schéma, tu as :
VLAN 10 : 192.168.1.0
VLAN 20 : 192.168.2.0
Et sur ton explication, tu as :
VLAN 10 : 192.168.10.0
VLAN 20 : 192.168.20.0
Je vais partir sur les adresses du schéma.
Si tu veux mettre une ACL qui empêchent n'importe qui d'accéder au VLAN 10 :
access-list 100 deny ip any 192.168.1.0 0.0.0.255
Et tu la places sur l'interface vers les LAN du routeur (en IN ou en OUT, à toi de tester, je ne vais pas tout te donner non plus^^).
Pour que le VLAN 20 communique avec tous les VLANs :
access-list 100 permit ip 192.168.2.0 ... (à toi de trouver la suite, si tu as compris la première, la deuxième fonctionne pareil dans l'autre sens)
On peut le faire avec des ACLs standards aussi si on veut mais j'aime les étendues :).
Après si tu voulais faire un truc un peu plus précis du style empêcher au VLAN 10 d'accéder à un serveur web par exemple qui serait avec le serveur DHCP de ton schéma :
access-list 100 deny tcp 192.168.1.0 0.0.0.255 [IP_ET_WILDCARD_MASK_SERVEUR_DHCP] eq 80
Si c'était un serveur DNS ATTENTION :
access-list 100 deny udp 192.168.1.0 0.0.0.255 [IP_ET_WILDCARD_MASK_SERVEUR_DNS] eq 53
Pour placer l'ACL sur une interface c'est simple :
enable
configure terminal
interface [n° de l'interface]
ip access-group [n° de l'ACL, ici 100] [in OU out]
Bon courage
mister-chikite
Messages postés
18
Date d'inscription
mercredi 1 juin 2011
Statut
Membre
Dernière intervention
16 novembre 2016
5 mars 2013 à 15:21
5 mars 2013 à 15:21
merci déjà pour ta réponse,
j'ai bien compris ce que tu as mis .
je ne comprend pas la notion IN/OUT a rajouté après chaque règle.
je vais tous de même testé ce que tu me propose.
j'ai bien compris ce que tu as mis .
je ne comprend pas la notion IN/OUT a rajouté après chaque règle.
je vais tous de même testé ce que tu me propose.
Avec une toute petite recherche, tu tombes sur ça et c'est super bien expliqué :
http://demay.iut.lr.free.fr/doc/2A/Reseaux/TR2%20-%20Technologies%20Internet/TP7/Annexe%20ACL.pdf
https://www.ciscomadesimple.be/wp-content/uploads/2011/06/CMSBE_F04_ACL.pdf
Bon courage
http://demay.iut.lr.free.fr/doc/2A/Reseaux/TR2%20-%20Technologies%20Internet/TP7/Annexe%20ACL.pdf
https://www.ciscomadesimple.be/wp-content/uploads/2011/06/CMSBE_F04_ACL.pdf
Bon courage
mister-chikite
Messages postés
18
Date d'inscription
mercredi 1 juin 2011
Statut
Membre
Dernière intervention
16 novembre 2016
6 mars 2013 à 14:16
6 mars 2013 à 14:16
Sa fais une semaine que je cherche sur le net et j'ai jamais vu ces liens ^^
mais oui effectivement ils sont super bien expliqué.
je pense que c'était la notion de IN/OUT qui me manquais pour faire fonctionner mes ACL
je te remercie, je vais suivre ce qu'il y a dans ces liens et je verrais bien
mais oui effectivement ils sont super bien expliqué.
je pense que c'était la notion de IN/OUT qui me manquais pour faire fonctionner mes ACL
je te remercie, je vais suivre ce qu'il y a dans ces liens et je verrais bien
mister-chikite
Messages postés
18
Date d'inscription
mercredi 1 juin 2011
Statut
Membre
Dernière intervention
16 novembre 2016
6 mars 2013 à 17:08
6 mars 2013 à 17:08
je pense avoir compris j'ai donc exécuter ces commande :
Router#sh access-lists
Extended IP access list VLAN10
deny ip 192.168.20.0 0.0.0.255 192.168.10.0 0.0.0.255
permit ip any any
Extended IP access list VLAN20
permit ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255
permit ip any any
Router(config)#interface fastEthernet0/0.1
Router(config-subif)#ip access-group VLAN10 in
Router(config-subif)#exit
Router(config)#interface fastEthernet0/0.2
Router(config-subif)#ip access-group VLAN20 in
Router(config-subif)#exit
Ce qui parait logique, j'interdis juste l'accès en entrée a mon VLAN10 au réseau 192.168.20.0 ?
apres mon test de ping (qui ne devrais pas repondre) et ben ca ping des 2 cotés.
je comprend pas ce que j'ai raté ?
Router#sh access-lists
Extended IP access list VLAN10
deny ip 192.168.20.0 0.0.0.255 192.168.10.0 0.0.0.255
permit ip any any
Extended IP access list VLAN20
permit ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255
permit ip any any
Router(config)#interface fastEthernet0/0.1
Router(config-subif)#ip access-group VLAN10 in
Router(config-subif)#exit
Router(config)#interface fastEthernet0/0.2
Router(config-subif)#ip access-group VLAN20 in
Router(config-subif)#exit
Ce qui parait logique, j'interdis juste l'accès en entrée a mon VLAN10 au réseau 192.168.20.0 ?
apres mon test de ping (qui ne devrais pas repondre) et ben ca ping des 2 cotés.
je comprend pas ce que j'ai raté ?
brupala
Messages postés
110566
Date d'inscription
lundi 16 juillet 2001
Statut
Membre
Dernière intervention
28 novembre 2024
13 836
Modifié par brupala le 7/03/2013 à 17:40
Modifié par brupala le 7/03/2013 à 17:40
Salut,
déjà l' access-list vlan20 ne sert à rien car elle ne bloque personne.
Si le vlan 10 arrive sur 0.1 adresse ip 192.168.10.x sur l'interface
mets plutôt :
Extended IP access list VLAN10
deny ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255
permit ip any any
Router(config)#interface fastEthernet0/0.1
Router(config-subif)#ip access-group VLAN10 in
mais cette access-list te bloquera également le traffic de 20 vers 10, car elle te bloquera aussi les réponses de 10 à 20.
pour faire ce que tu veux (connexions unidirectionnelles) il te faut un vrai firewall statefull, tu peux compenser un peu et permettre le tcp established
accesst-list VLAN-20->10
pour tcp :
permit tcp 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255 established
pour ping
permit icmp 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255 echo-reply
bloquer le reste du traffic entre 10 et 20 (udp et les reste des icmp)
deny ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255
laisser ce qui va vers l'extérieur:
permit ip 192.168.10.0 0.0.0.255 any
déjà l' access-list vlan20 ne sert à rien car elle ne bloque personne.
Si le vlan 10 arrive sur 0.1 adresse ip 192.168.10.x sur l'interface
mets plutôt :
Extended IP access list VLAN10
deny ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255
permit ip any any
Router(config)#interface fastEthernet0/0.1
Router(config-subif)#ip access-group VLAN10 in
mais cette access-list te bloquera également le traffic de 20 vers 10, car elle te bloquera aussi les réponses de 10 à 20.
pour faire ce que tu veux (connexions unidirectionnelles) il te faut un vrai firewall statefull, tu peux compenser un peu et permettre le tcp established
accesst-list VLAN-20->10
pour tcp :
permit tcp 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255 established
pour ping
permit icmp 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255 echo-reply
bloquer le reste du traffic entre 10 et 20 (udp et les reste des icmp)
deny ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255
laisser ce qui va vers l'extérieur:
permit ip 192.168.10.0 0.0.0.255 any
Oui les ACL que j'avais marqué c'était pour t'expliquer le fonctionnement des ACLs pour ne pas te donner les réponses (il faut chercher, et plus on cherche, plus on apprend des choses :) ).
Excellente réponse de brupala, en effet tu n'as pas le choix que de mettre un vrai firewall ou mettre des zones (isoled, community, ...) avec des PVLANs mais je ne pense pas que tu en sois là. Encore que, là, ton problème c'est le retour de l'échange, ton ping part bien mais ne revient pas donc ça doit te donner une erreur d'un côté du style destination unreachable et de l'autre un request timeout j'imagine.
Pur commencer, fais ce que t'as dit brupala en bloquant le DNS (comme je t'avais mis plus haut ou autre protocole à ta guise (FTP, SNMP, ...) pour tester les réactions que tu auras avec toutes ces ACLs.
Bon courage pour la suite (et vive les ACLs)
Excellente réponse de brupala, en effet tu n'as pas le choix que de mettre un vrai firewall ou mettre des zones (isoled, community, ...) avec des PVLANs mais je ne pense pas que tu en sois là. Encore que, là, ton problème c'est le retour de l'échange, ton ping part bien mais ne revient pas donc ça doit te donner une erreur d'un côté du style destination unreachable et de l'autre un request timeout j'imagine.
Pur commencer, fais ce que t'as dit brupala en bloquant le DNS (comme je t'avais mis plus haut ou autre protocole à ta guise (FTP, SNMP, ...) pour tester les réactions que tu auras avec toutes ces ACLs.
Bon courage pour la suite (et vive les ACLs)
mister-chikite
Messages postés
18
Date d'inscription
mercredi 1 juin 2011
Statut
Membre
Dernière intervention
16 novembre 2016
7 mars 2013 à 17:16
7 mars 2013 à 17:16
Merci je vais essayé avec les méthodes que vous me conseiller.
sinon il y aurait pas une autre méthodes (omis firewall et ACL) pour bloquer mon VLAN 20 et sans bloquer le VLAN 10 ?
VIVE les ACL oui enfin quand ca marche :p
sinon il y aurait pas une autre méthodes (omis firewall et ACL) pour bloquer mon VLAN 20 et sans bloquer le VLAN 10 ?
VIVE les ACL oui enfin quand ca marche :p
Non impossible.
Le seul moyen c'est le filtrage donc ACL (ou dans une plus grosse topo, un firewall).
En spécifiant par protocole, par exemple ça donne ça :
ip access-list extended VLAN10TO20
permit tcp 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255 established
deny ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255
permit ip 192.168.10.0 0.0.0.255 any (ou permit ip any any, tout dépend si tu as d'autres sous-réseaux).
Et tu l'appliques sur l'interface (ACL extended, plus proche de la source) :
interface fastEthernet0/0.1
ip access-group VLAN10TO20 in
Et ça marche en théorie (pas testé mais j'imagine).
Si tu as compris le principe, tu pourras à présent te débrouiller tout seul.
Si tu fais un ping d'un PC à un autre, si ça ne fait pas ce que tu veux, fais la commande : show access-lists (en enable) où tu verras quelle ACL a matché ton ping (ça résoud les problèmes généralement).
PS : Tu verras, dans quelques temps tu diras VIVE LES ACLs et tu en seras fier :)
Le seul moyen c'est le filtrage donc ACL (ou dans une plus grosse topo, un firewall).
En spécifiant par protocole, par exemple ça donne ça :
ip access-list extended VLAN10TO20
permit tcp 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255 established
deny ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255
permit ip 192.168.10.0 0.0.0.255 any (ou permit ip any any, tout dépend si tu as d'autres sous-réseaux).
Et tu l'appliques sur l'interface (ACL extended, plus proche de la source) :
interface fastEthernet0/0.1
ip access-group VLAN10TO20 in
Et ça marche en théorie (pas testé mais j'imagine).
Si tu as compris le principe, tu pourras à présent te débrouiller tout seul.
Si tu fais un ping d'un PC à un autre, si ça ne fait pas ce que tu veux, fais la commande : show access-lists (en enable) où tu verras quelle ACL a matché ton ping (ça résoud les problèmes généralement).
PS : Tu verras, dans quelques temps tu diras VIVE LES ACLs et tu en seras fier :)
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
mister-chikite
Messages postés
18
Date d'inscription
mercredi 1 juin 2011
Statut
Membre
Dernière intervention
16 novembre 2016
8 mars 2013 à 12:46
8 mars 2013 à 12:46
Je viens de testé ce que tu ma proposé sciencinfo,
et quand je ping, mon routeur bloque les entrées et les sorties de n' importe quel ping sur n'importe quel poste :/ ,
je désespère ...
j'ai pensé a remplacé mon routeur cisco par une machine debian qui fera office de routeur et de firewall (Iptable).
est ce que cela pourrais combler ma demande au niveau des 2 VLAN ?
et quand je ping, mon routeur bloque les entrées et les sorties de n' importe quel ping sur n'importe quel poste :/ ,
je désespère ...
j'ai pensé a remplacé mon routeur cisco par une machine debian qui fera office de routeur et de firewall (Iptable).
est ce que cela pourrais combler ma demande au niveau des 2 VLAN ?
brupala
Messages postés
110566
Date d'inscription
lundi 16 juillet 2001
Statut
Membre
Dernière intervention
28 novembre 2024
13 836
Modifié par brupala le 8/03/2013 à 13:00
Modifié par brupala le 8/03/2013 à 13:00
pour le ping, rajoute la ligne que je t'avais mis:
pour ping
permit icmp 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255 echo-reply
Depuis le début,
je te dis qu'il faut un vrai firewall statefull pour faire ça.
ceci dit un cisco peut faire un vrai firewall aussi, sous certaines conditions (cbac)
https://www.cisco.com/c/en/us/obsolete/ios-nx-os-software/cisco-ios-software-releases-12-2-mainline.html
Mais on sort de l'utilisation des vlan.
pour ping
permit icmp 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255 echo-reply
Depuis le début,
je te dis qu'il faut un vrai firewall statefull pour faire ça.
ceci dit un cisco peut faire un vrai firewall aussi, sous certaines conditions (cbac)
https://www.cisco.com/c/en/us/obsolete/ios-nx-os-software/cisco-ios-software-releases-12-2-mainline.html
Mais on sort de l'utilisation des vlan.