Access-List Interdire l'accès à un réseau sauf une adresse.

[Résolu/Fermé]
Signaler
Messages postés
15
Date d'inscription
jeudi 12 décembre 2013
Statut
Membre
Dernière intervention
8 janvier 2014
-
Messages postés
15
Date d'inscription
jeudi 12 décembre 2013
Statut
Membre
Dernière intervention
8 janvier 2014
-
Bonjour, j'ai une question à propos des access-list sur les routeurs Cisco. Voilà ma question:

Peut on interdire l'accès à un réseau (DMZ) sauf une adresse du réseau (routeur vers internet)
afin que les sous réseau n'est pas accès à la DMZ mais à internet.
je travaille sur Packet Tracer voilà le schéma de mon réseau et les access-List déjà crée (https://imgur.com/a/nM41n) L'access List 100 et 101 permet aux réseau Libre service et Administration de ne pas pouvoir communiquer, la 102 permet au réseau libre service de ne pas avoir accès à la DMZ mais il devrais avoir un accès vers le routeur "Router2" qui a pour adresse de port 10.6.1.254 malheureusement ÇA NE MARCHE PAS, donc voilà j'aurais voulu savoir si quelqu'un connaissait un moyen de réaliser ceci.

Merci, Kévin :)

10 réponses

Messages postés
788
Date d'inscription
mercredi 2 novembre 2011
Statut
Membre
Dernière intervention
17 mai 2014
99
cette ligne n'est jamais matchée puisque dans la ligne juste avant tu as un deny avec la même source et même destination.
la syntaxe que je t'ai donné c'est pour éditer l'ACL, si tu veux retirer la dernière ligne:
ip access-list extended 102
no 30
puis tu ajoutes ta règle pour pinger le routeur
10 permit icmp 172.16.50.0 0.0.0.255 host 10.6.1.254 echo
Maintenant ton ACL tu devrais la mettre au plus près de la source càd en in sur l'interface de r1 dans le subnet libre service et dans ce cas si tu veux pinger le routeur, ne pas communiquer avec dmz ni avec admin:
ip access-list extended libre-service
permit ip 172.16.50.0 0.0.0.255 host 10.6.1.254
deny ip 172.16.50.0 0.0.0.255 193.168.1.0 0.0.0.255
deny ip 172.16.50.0 0.0.0.255 10.6.1.0 0.0.0.255
permit ip any any
int f0/x
descr to libre service
ip access-group libre-service in
int f0/3
no ip access-group 102 out

Maintenant il faudrait voir les autres ACL où elles sont appliquées et dans quel sens:
sh ip interface | i Fast|Outgoing|Inbound
sh access-list

Alain
3
Merci

Quelques mots de remerciements seront grandement appréciés. Ajouter un commentaire

CCM 41713 internautes nous ont dit merci ce mois-ci

Messages postés
788
Date d'inscription
mercredi 2 novembre 2011
Statut
Membre
Dernière intervention
17 mai 2014
99
où est appliquée l' ACL 102 ? sur R1 inbound sur l'interface du subnet libre service ?
Que veux-tu pouvoir pinger R2 ?
Dans ce cas:
ip access-list extended 102
10 permit icmp 172.16.50.0 0.0.0.255 host 10.6.1.254 echo

Alain
Messages postés
15
Date d'inscription
jeudi 12 décembre 2013
Statut
Membre
Dernière intervention
8 janvier 2014

Je viens d'essayer ça ne marche pas...

ok,

enlève tout ce que tu as fait et mets ceci:

1)Libre vers Internet seulement:
ip access-list extended LIBRE_OFFICE
deny ip any 193.168.1.0 0.0.0.255
deny ip any 10.6.1.0 0.0.0.255
permit ip any any
int f5/0
ip access-group LIBRE_OFFICE in

2) Admin vers Internet + DMZ:
ip access-list extended Admin
deny ip any 172.16.50.0 0.0.0.255
permit ip any any
int f4/0
ip access-group Admin in
Messages postés
15
Date d'inscription
jeudi 12 décembre 2013
Statut
Membre
Dernière intervention
8 janvier 2014

Toute les ACL sont sur le routeur du milieu "Router1" l' ACL 102 et sur l'interface du réseau de la DMZ (port Fa3/0) et depuis mon réseau Libre service (172.16.50.0/24) je veux pouvoir pinger donc le port du routeur "Router2" (port Fa4/0) qui à pour adresse 10.6.1.25, mais sans avoir accès (en gros) au serveur de la DMZ et donc du réseau 10.6.1.0/24

Ta solution me parait être pas mal, ducoup dans mon access list je dois enlever la ligne " access-list 102 permit ip 172.16.50.0 0.0.0.255 10.6.1.254 0.0.0.255" Et la remplacer par ce que tu me propose ?
Messages postés
15
Date d'inscription
jeudi 12 décembre 2013
Statut
Membre
Dernière intervention
8 janvier 2014

Le résultat du sh access-list:

https://imgur.com/a/nM41n
Messages postés
788
Date d'inscription
mercredi 2 novembre 2011
Statut
Membre
Dernière intervention
17 mai 2014
99
tu peux retirer ton ACL 102 et tu ne mas pas donné la sortie de l'autre commande

Alain
Messages postés
15
Date d'inscription
jeudi 12 décembre 2013
Statut
Membre
Dernière intervention
8 janvier 2014

C'est bon je l'ai retirer merci, et donc voila le dossier mis à jour avec le sh ip interface: https://imgur.com/a/nM41n le grep (| i Fast|Outgoing|Inbound ) n'a pas voulu marcher du coup j'ai fait un show général.

FastEthernet3/0 correspond à l'interface DMZ
FastEthernet4/0 correspond à l'interface Admin
FastEthernet5/0 correspond à l'interface Libre Service.

ok peux-tu maintenant dire exactement quel traffic(src/dst et protocole+ports) tu veux bloquer et quel traffic tu veux laisser passer comme ça on pourra simplifier tout cela car je pense que une seule ACL serait suffisante.

Alain
Messages postés
15
Date d'inscription
jeudi 12 décembre 2013
Statut
Membre
Dernière intervention
8 janvier 2014

Donc pour faire simple comme indiquer sur le schéma, le réseau Libre service doit pouvoir avoir accès uniquement à internet simuler par un routeur Internet en haut à gauche, mais ne peux pas avoir accès ni au réseau Administration, ni au réseau DMZ.

Ensuite le réseau administration doit avoir accès à la DMZ et à internet mais pas au réseau Libre service.

Pour ce qui est de bloquer le réseau entre le libre service et l'administration il y a aucun soucis c'est lors du blocage entre le libre service et la DMZ que ça bloque car le port du routeur "router2" qui permet l'accès à internet est dans le sous réseau de la DMZ (10.6.1.0/24).

Voilà.
Messages postés
15
Date d'inscription
jeudi 12 décembre 2013
Statut
Membre
Dernière intervention
8 janvier 2014

Du coup c'est bon merci j'avais mis en place la première configuration que tu m'avais conseiller et ça à marché, Merci encore ça m'a bien aidée, très bon boulot ^^.

Merci et à bientôt.

Kévin.