ACL HP Procurve 3500 [Résolu/Fermé]

Signaler
Messages postés
32
Date d'inscription
mardi 31 mars 2009
Statut
Membre
Dernière intervention
29 septembre 2014
-
Messages postés
32
Date d'inscription
mardi 31 mars 2009
Statut
Membre
Dernière intervention
29 septembre 2014
-
Bonjour,
J'ai un switch L3 HP 3500 avec pas mal de vlans (routage inter-vlan actif) sur lequel je veux mettre des acl pour 2 vlans:
En clair :
vlan 15 : réseau 192.168.1.0 255.255.255.0
vlan 16 : réseau 192.168.2.0 255.255.255.0

Le but est que le vlan 15 puisse avoir acces au vlan 16 mais que le vlan 16 lui n'est pas acces au vlan 15

Ma conf :

ip access-list extended "vlan 15"
10 deny ip xxxx -> pour autre vlan
20 deny ip xxxx -> pour autre vlan
30 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255

ip access-list extended "vlan 16"
10 deny ip xxxx -> pour autre vlan
20 deny ip xxxx -> pour autre vlan
30 permit tcp 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255 established
40 deny ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255

J'applique ensuite mes acl sur les vlans avec la commande
ip acces-group "vlan 15" in
ip acces-group "vlan 16" in


En cherchant sur internet j'ai pensé qu'il fallait jouer avec le "established" mais est-ce la bonne solution ?
Avez-vous un exemple de conf ?

Merci

4 réponses


"established " est valable uniquement pour TCP.
Ce que tu veux faireest très difficile à implémenter avec des ACL qui par définition sont stateless.

Alain
Messages postés
32
Date d'inscription
mardi 31 mars 2009
Statut
Membre
Dernière intervention
29 septembre 2014
5
Bonjour,

Merci pour votre réponse.
Ok qu' "established " est valable uniquement pour TCP, en même temps une grande partie des flux est en protocole TCP, donc par rapport à ca pas de pb.

Ce que j'aimerai savoir, c'est est-ce que ma conf vous semble ok avec :

- d'un côté le permit pour l'acl du vlan 15
- de l'autre le permit "established" et ensuite le deny pour l'acl du vlan 16
=> pour qu'au final il soit impossible d'accèder du vlan 16 au vlan 15 mais que vlan 15 ai acces au vlan 16 (au moins en tcp).

Autre petite question :
Pour permettre en plus du "established tcp" le ping du vlan 15 vers vlan 16 mais pas l'inverse, faut-il ajouter au niveau de l'acl vlan 16 un permit avec icmp de telle
sorte :

ip access-list extended "vlan 16"
10 deny ip xxxx -> pour autre vlan
20 deny ip xxxx -> pour autre vlan
25 permit icmp 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255 -> pour juste répondre aux requêtes ping de vlan 15 mais garder l'interdiction vlan 16 vers vlan 15
30 permit tcp 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255 established
40 deny ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255


Merci de vos réponses
Cdt

pour permettre les echo-replies de 16 vers 20:
permit icmp 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255 echo-reply
Si tu ne précises pas le type/sub-code de icmp alors tu laisse le vlan 16 pinger le vlan 15.
Tu n'as pas besoin de mettre une ACL sur le VLAN 15, tu mets juste une ACL sur le VLAN 16 en inbound:
permit tcp 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255 established
permit icmp 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255 echo-reply
deny ip any any log

En mettant le deny all explicite plus le log tu verras si il faut que tu rajoutes des permit pour certains traffics de retour que tu aurais oublié.

Alain
Messages postés
32
Date d'inscription
mardi 31 mars 2009
Statut
Membre
Dernière intervention
29 septembre 2014
5
Merci beaucoup pour cette réponse.
Quand tu parle de "type/sub-code" c'est le "echo-reply" à la fin de l'ACE permit icmp ??

oui exact
Messages postés
32
Date d'inscription
mardi 31 mars 2009
Statut
Membre
Dernière intervention
29 septembre 2014
5
Ok
Encore merci pour ton aide.