ACL HP Procurve 3500
Résolu/Fermé
toinewalker
Messages postés
32
Date d'inscription
mardi 31 mars 2009
Statut
Membre
Dernière intervention
29 septembre 2014
-
26 oct. 2013 à 10:08
toinewalker Messages postés 32 Date d'inscription mardi 31 mars 2009 Statut Membre Dernière intervention 29 septembre 2014 - 27 oct. 2013 à 16:09
toinewalker Messages postés 32 Date d'inscription mardi 31 mars 2009 Statut Membre Dernière intervention 29 septembre 2014 - 27 oct. 2013 à 16:09
A voir également:
- ACL HP Procurve 3500
- Hp format tool - Télécharger - Stockage
- Débloquer pavé tactile hp - Guide
- Télécharger pilote imprimante hp - Télécharger - Pilotes & Matériel
- Imprimante occupée hp ✓ - Forum Bureautique
- Hp voyant alimentation clignote blanc - Forum Matériel & Système
4 réponses
"established " est valable uniquement pour TCP.
Ce que tu veux faireest très difficile à implémenter avec des ACL qui par définition sont stateless.
Alain
Ce que tu veux faireest très difficile à implémenter avec des ACL qui par définition sont stateless.
Alain
toinewalker
Messages postés
32
Date d'inscription
mardi 31 mars 2009
Statut
Membre
Dernière intervention
29 septembre 2014
5
27 oct. 2013 à 10:16
27 oct. 2013 à 10:16
Bonjour,
Merci pour votre réponse.
Ok qu' "established " est valable uniquement pour TCP, en même temps une grande partie des flux est en protocole TCP, donc par rapport à ca pas de pb.
Ce que j'aimerai savoir, c'est est-ce que ma conf vous semble ok avec :
- d'un côté le permit pour l'acl du vlan 15
- de l'autre le permit "established" et ensuite le deny pour l'acl du vlan 16
=> pour qu'au final il soit impossible d'accèder du vlan 16 au vlan 15 mais que vlan 15 ai acces au vlan 16 (au moins en tcp).
Autre petite question :
Pour permettre en plus du "established tcp" le ping du vlan 15 vers vlan 16 mais pas l'inverse, faut-il ajouter au niveau de l'acl vlan 16 un permit avec icmp de telle
sorte :
ip access-list extended "vlan 16"
10 deny ip xxxx -> pour autre vlan
20 deny ip xxxx -> pour autre vlan
25 permit icmp 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255 -> pour juste répondre aux requêtes ping de vlan 15 mais garder l'interdiction vlan 16 vers vlan 15
30 permit tcp 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255 established
40 deny ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
Merci de vos réponses
Cdt
Merci pour votre réponse.
Ok qu' "established " est valable uniquement pour TCP, en même temps une grande partie des flux est en protocole TCP, donc par rapport à ca pas de pb.
Ce que j'aimerai savoir, c'est est-ce que ma conf vous semble ok avec :
- d'un côté le permit pour l'acl du vlan 15
- de l'autre le permit "established" et ensuite le deny pour l'acl du vlan 16
=> pour qu'au final il soit impossible d'accèder du vlan 16 au vlan 15 mais que vlan 15 ai acces au vlan 16 (au moins en tcp).
Autre petite question :
Pour permettre en plus du "established tcp" le ping du vlan 15 vers vlan 16 mais pas l'inverse, faut-il ajouter au niveau de l'acl vlan 16 un permit avec icmp de telle
sorte :
ip access-list extended "vlan 16"
10 deny ip xxxx -> pour autre vlan
20 deny ip xxxx -> pour autre vlan
25 permit icmp 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255 -> pour juste répondre aux requêtes ping de vlan 15 mais garder l'interdiction vlan 16 vers vlan 15
30 permit tcp 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255 established
40 deny ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
Merci de vos réponses
Cdt
pour permettre les echo-replies de 16 vers 20:
permit icmp 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255 echo-reply
Si tu ne précises pas le type/sub-code de icmp alors tu laisse le vlan 16 pinger le vlan 15.
Tu n'as pas besoin de mettre une ACL sur le VLAN 15, tu mets juste une ACL sur le VLAN 16 en inbound:
permit tcp 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255 established
permit icmp 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255 echo-reply
deny ip any any log
En mettant le deny all explicite plus le log tu verras si il faut que tu rajoutes des permit pour certains traffics de retour que tu aurais oublié.
Alain
permit icmp 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255 echo-reply
Si tu ne précises pas le type/sub-code de icmp alors tu laisse le vlan 16 pinger le vlan 15.
Tu n'as pas besoin de mettre une ACL sur le VLAN 15, tu mets juste une ACL sur le VLAN 16 en inbound:
permit tcp 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255 established
permit icmp 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255 echo-reply
deny ip any any log
En mettant le deny all explicite plus le log tu verras si il faut que tu rajoutes des permit pour certains traffics de retour que tu aurais oublié.
Alain
toinewalker
Messages postés
32
Date d'inscription
mardi 31 mars 2009
Statut
Membre
Dernière intervention
29 septembre 2014
5
27 oct. 2013 à 11:25
27 oct. 2013 à 11:25
Merci beaucoup pour cette réponse.
Quand tu parle de "type/sub-code" c'est le "echo-reply" à la fin de l'ACE permit icmp ??
Quand tu parle de "type/sub-code" c'est le "echo-reply" à la fin de l'ACE permit icmp ??
toinewalker
Messages postés
32
Date d'inscription
mardi 31 mars 2009
Statut
Membre
Dernière intervention
29 septembre 2014
5
27 oct. 2013 à 16:09
27 oct. 2013 à 16:09
Ok
Encore merci pour ton aide.
Encore merci pour ton aide.