Interdire à deux PC de communiquer ensemble ACL
Gotwol
Messages postés
5
Date d'inscription
Statut
Membre
Dernière intervention
-
Gotwol Messages postés 5 Date d'inscription Statut Membre Dernière intervention -
Gotwol Messages postés 5 Date d'inscription Statut Membre Dernière intervention -
Bonjour !
Je suis actuellement en BTS SIO Réseau, et dans le cadre d'un petit TP, 4 PC doivent communiquer avec un serveur et ne doivent pas communiquer ensemble, le seul moyen trouvé est donc les ACL.
J'ai donc tout d'abord permit tous les flux pour ensuite deny ceux qui doivent l'être
Je présente donc les commandes :
access-list 100 permit icmp any any
access-list 101 deny host 192.168.1.1 host 192.168.1.2
Dans cette deuxième commande le PC1 ne doit plus pouvoir communiquer avec le PC2 mais les ping sont toujours successfull.
Quelqu'un aurait une solution ?
Je suis actuellement en BTS SIO Réseau, et dans le cadre d'un petit TP, 4 PC doivent communiquer avec un serveur et ne doivent pas communiquer ensemble, le seul moyen trouvé est donc les ACL.
J'ai donc tout d'abord permit tous les flux pour ensuite deny ceux qui doivent l'être
Je présente donc les commandes :
access-list 100 permit icmp any any
access-list 101 deny host 192.168.1.1 host 192.168.1.2
Dans cette deuxième commande le PC1 ne doit plus pouvoir communiquer avec le PC2 mais les ping sont toujours successfull.
Quelqu'un aurait une solution ?
A voir également:
- Interdire à deux PC de communiquer ensemble ACL
- Reinitialiser pc - Guide
- Deux ecran pc - Guide
- Test performance pc - Guide
- Pc lent - Guide
- Downloader for pc - Télécharger - Téléchargement & Transfert
4 réponses
Dans cette deuxième commande le PC1 ne doit plus pouvoir communiquer avec le PC2 mais les ping sont toujours successfull.
Il faut voir le filtrage comme une succession de passoire/filtre. Si je suis pas retenu par le filtre, je passe au suivant etc ... lorsque je suis retenu par un filtre, je n'irai pas voir les filtres suivants ...
Donc il y a un ordre à l'application des règles (d'où les numéros).
Lorsque une règle "match" (correspond), le trafic est considéré comme traité, on ne regarde pas les règles qui sont après, puisque l'on a trouvé une correspondance plus tot dans le jeu de règles.
PIng utilise ICMP, vous autorisez icmp any to any.
Lorsque vous faites un ping, ça match la règle 100. On ne regarde pas plus loin, la connexion est considérée comme traitée car elle "a matché" une règle qui lui correspond.
Donc le Deny derrière ne matchera pas la connexion déja traitée juste avant... (icmp en l'occurence. Si on essaye autre chose ça matchera).
Vous dites aussi : J'ai donc tout d'abord permit tous les flux pour ensuite deny ceux qui doivent l'être
En Filtrage on ne procède "pas" comme ça, avec ce que je viens d'expliquer.
Par défaut on refuse TOUT. On appelle cela la stratégie par défaut : quand aucune règle ne matche, on refuse (on rejette les paquets).
Donc comment faire ?
On autorise seulement les machines à discuter en ICMP avec le serveur.
On refuse tout le reste.
Using a registry "compactor" on top of a registry "cleaner" would be equivalent to rinsing your throat with a swig of Jack Daniels after swallowing a pint of snake oil....
Il faut voir le filtrage comme une succession de passoire/filtre. Si je suis pas retenu par le filtre, je passe au suivant etc ... lorsque je suis retenu par un filtre, je n'irai pas voir les filtres suivants ...
Donc il y a un ordre à l'application des règles (d'où les numéros).
Lorsque une règle "match" (correspond), le trafic est considéré comme traité, on ne regarde pas les règles qui sont après, puisque l'on a trouvé une correspondance plus tot dans le jeu de règles.
PIng utilise ICMP, vous autorisez icmp any to any.
Lorsque vous faites un ping, ça match la règle 100. On ne regarde pas plus loin, la connexion est considérée comme traitée car elle "a matché" une règle qui lui correspond.
Donc le Deny derrière ne matchera pas la connexion déja traitée juste avant... (icmp en l'occurence. Si on essaye autre chose ça matchera).
Vous dites aussi : J'ai donc tout d'abord permit tous les flux pour ensuite deny ceux qui doivent l'être
En Filtrage on ne procède "pas" comme ça, avec ce que je viens d'expliquer.
Par défaut on refuse TOUT. On appelle cela la stratégie par défaut : quand aucune règle ne matche, on refuse (on rejette les paquets).
Donc comment faire ?
On autorise seulement les machines à discuter en ICMP avec le serveur.
On refuse tout le reste.
Using a registry "compactor" on top of a registry "cleaner" would be equivalent to rinsing your throat with a swig of Jack Daniels after swallowing a pint of snake oil....
Navré, étant derrière un proxy d'entreprise , je ne peux pas voir votre lien.
Mais je suppose que les stations sont sur le meme brin ethernet.
Donc quand elles communiquent entre elles, elles ne devraient pas etre processées par les ACLs...
Faites les lien avec les sujets que vous abordez en cours pour trouver la solution.
Il y a plusieurs solutions possibles :
Isolation des clients dans chacun un VLAN.
Et la les ACLs seront applicables sur chaque Interface (on monte sur couche 3 pour le routage).
ou
ACL sur Ethernet.
ou
Je ne sais pas si le management Vlan (vlan1) a un comportement particulier avec les ACLs.
D'autre part, je ne sais plus comment appliquer une ACL (sur une interface, groupe/stack etc ... et comment elle est traitée par le niveau 2, j'ai un doute la dessus)
ça remonte trop loin, et je ne suis pas expert réseau.
Si cela avait été sous Linux j'aurais pu aider plus précisément.
Mais je suppose que les stations sont sur le meme brin ethernet.
Donc quand elles communiquent entre elles, elles ne devraient pas etre processées par les ACLs...
Faites les lien avec les sujets que vous abordez en cours pour trouver la solution.
Il y a plusieurs solutions possibles :
Isolation des clients dans chacun un VLAN.
Et la les ACLs seront applicables sur chaque Interface (on monte sur couche 3 pour le routage).
ou
ACL sur Ethernet.
ou
Je ne sais pas si le management Vlan (vlan1) a un comportement particulier avec les ACLs.
D'autre part, je ne sais plus comment appliquer une ACL (sur une interface, groupe/stack etc ... et comment elle est traitée par le niveau 2, j'ai un doute la dessus)
ça remonte trop loin, et je ne suis pas expert réseau.
Si cela avait été sous Linux j'aurais pu aider plus précisément.
Merci de votre réponse.
J'ai supprimé mes règles et je viens d'en créer une nouvelle qui deny any any.
Mais les pings sont toujours successfull.
Je vous donne un screen pour plus de clarté au niveau de l'archi.
http://hpics.li/be6a983
Avec ce switch routeur je ne peux pas assigner les règles à des ports, je peux seulement les assigner à un Vlan. En assignant la nouvelle règle au vlan 100 je n'ai pas d'impact.
Tout à l'heure j'avais créé des règles sans les assigner nulle part et il y avait quand même des impacts.
J'ai supprimé mes règles et je viens d'en créer une nouvelle qui deny any any.
Mais les pings sont toujours successfull.
Je vous donne un screen pour plus de clarté au niveau de l'archi.
http://hpics.li/be6a983
Avec ce switch routeur je ne peux pas assigner les règles à des ports, je peux seulement les assigner à un Vlan. En assignant la nouvelle règle au vlan 100 je n'ai pas d'impact.
Tout à l'heure j'avais créé des règles sans les assigner nulle part et il y avait quand même des impacts.