Access-List Interdire l'accès à un réseau sauf une adresse.

Résolu
keuponED Messages postés 16 Statut Membre -  
keuponED Messages postés 16 Statut Membre -
Bonjour, j'ai une question à propos des access-list sur les routeurs Cisco. Voilà ma question:

Peut on interdire l'accès à un réseau (DMZ) sauf une adresse du réseau (routeur vers internet)
afin que les sous réseau n'est pas accès à la DMZ mais à internet.
je travaille sur Packet Tracer voilà le schéma de mon réseau et les access-List déjà crée (https://imgur.com/a/nM41n) L'access List 100 et 101 permet aux réseau Libre service et Administration de ne pas pouvoir communiquer, la 102 permet au réseau libre service de ne pas avoir accès à la DMZ mais il devrais avoir un accès vers le routeur "Router2" qui a pour adresse de port 10.6.1.254 malheureusement ÇA NE MARCHE PAS, donc voilà j'aurais voulu savoir si quelqu'un connaissait un moyen de réaliser ceci.

Merci, Kévin :)

10 réponses

  1. ciscowarrior Messages postés 810 Statut Membre 100
     
    cette ligne n'est jamais matchée puisque dans la ligne juste avant tu as un deny avec la même source et même destination.
    la syntaxe que je t'ai donné c'est pour éditer l'ACL, si tu veux retirer la dernière ligne:
    ip access-list extended 102
    no 30
    puis tu ajoutes ta règle pour pinger le routeur
    10 permit icmp 172.16.50.0 0.0.0.255 host 10.6.1.254 echo
    Maintenant ton ACL tu devrais la mettre au plus près de la source càd en in sur l'interface de r1 dans le subnet libre service et dans ce cas si tu veux pinger le routeur, ne pas communiquer avec dmz ni avec admin:
    ip access-list extended libre-service
    permit ip 172.16.50.0 0.0.0.255 host 10.6.1.254
    deny ip 172.16.50.0 0.0.0.255 193.168.1.0 0.0.0.255
    deny ip 172.16.50.0 0.0.0.255 10.6.1.0 0.0.0.255
    permit ip any any
    int f0/x
    descr to libre service
    ip access-group libre-service in
    int f0/3
    no ip access-group 102 out

    Maintenant il faudrait voir les autres ACL où elles sont appliquées et dans quel sens:
    sh ip interface | i Fast|Outgoing|Inbound
    sh access-list

    Alain
    3
  2. ciscowarrior Messages postés 810 Statut Membre 100
     
    où est appliquée l' ACL 102 ? sur R1 inbound sur l'interface du subnet libre service ?
    Que veux-tu pouvoir pinger R2 ?
    Dans ce cas:
    ip access-list extended 102
    10 permit icmp 172.16.50.0 0.0.0.255 host 10.6.1.254 echo

    Alain
    1
    1. keuponED Messages postés 16 Statut Membre
       
      Je viens d'essayer ça ne marche pas...
      0
  3. ciscowarrior
     
    ok,

    enlève tout ce que tu as fait et mets ceci:

    1)Libre vers Internet seulement:
    ip access-list extended LIBRE_OFFICE
    deny ip any 193.168.1.0 0.0.0.255
    deny ip any 10.6.1.0 0.0.0.255
    permit ip any any
    int f5/0
    ip access-group LIBRE_OFFICE in

    2) Admin vers Internet + DMZ:
    ip access-list extended Admin
    deny ip any 172.16.50.0 0.0.0.255
    permit ip any any
    int f4/0
    ip access-group Admin in
    1
  4. keuponED Messages postés 16 Statut Membre
     
    Toute les ACL sont sur le routeur du milieu "Router1" l' ACL 102 et sur l'interface du réseau de la DMZ (port Fa3/0) et depuis mon réseau Libre service (172.16.50.0/24) je veux pouvoir pinger donc le port du routeur "Router2" (port Fa4/0) qui à pour adresse 10.6.1.25, mais sans avoir accès (en gros) au serveur de la DMZ et donc du réseau 10.6.1.0/24

    Ta solution me parait être pas mal, ducoup dans mon access list je dois enlever la ligne " access-list 102 permit ip 172.16.50.0 0.0.0.255 10.6.1.254 0.0.0.255" Et la remplacer par ce que tu me propose ?
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. ciscowarrior Messages postés 810 Statut Membre 100
     
    tu peux retirer ton ACL 102 et tu ne mas pas donné la sortie de l'autre commande

    Alain
    0
  7. keuponED Messages postés 16 Statut Membre
     
    C'est bon je l'ai retirer merci, et donc voila le dossier mis à jour avec le sh ip interface: https://imgur.com/a/nM41n le grep (| i Fast|Outgoing|Inbound ) n'a pas voulu marcher du coup j'ai fait un show général.

    FastEthernet3/0 correspond à l'interface DMZ
    FastEthernet4/0 correspond à l'interface Admin
    FastEthernet5/0 correspond à l'interface Libre Service.
    0
  8. ciscowarrior
     
    ok peux-tu maintenant dire exactement quel traffic(src/dst et protocole+ports) tu veux bloquer et quel traffic tu veux laisser passer comme ça on pourra simplifier tout cela car je pense que une seule ACL serait suffisante.

    Alain
    0
  9. keuponED Messages postés 16 Statut Membre
     
    Donc pour faire simple comme indiquer sur le schéma, le réseau Libre service doit pouvoir avoir accès uniquement à internet simuler par un routeur Internet en haut à gauche, mais ne peux pas avoir accès ni au réseau Administration, ni au réseau DMZ.

    Ensuite le réseau administration doit avoir accès à la DMZ et à internet mais pas au réseau Libre service.

    Pour ce qui est de bloquer le réseau entre le libre service et l'administration il y a aucun soucis c'est lors du blocage entre le libre service et la DMZ que ça bloque car le port du routeur "router2" qui permet l'accès à internet est dans le sous réseau de la DMZ (10.6.1.0/24).

    Voilà.
    0
  10. keuponED Messages postés 16 Statut Membre
     
    Du coup c'est bon merci j'avais mis en place la première configuration que tu m'avais conseiller et ça à marché, Merci encore ça m'a bien aidée, très bon boulot ^^.

    Merci et à bientôt.

    Kévin.
    0