Interdire à deux PC de communiquer ensemble ACL
Fermé
Gotwol
Messages postés
5
Date d'inscription
mardi 25 novembre 2014
Statut
Membre
Dernière intervention
31 juillet 2015
-
25 nov. 2014 à 13:53
Gotwol Messages postés 5 Date d'inscription mardi 25 novembre 2014 Statut Membre Dernière intervention 31 juillet 2015 - 25 nov. 2014 à 14:54
Gotwol Messages postés 5 Date d'inscription mardi 25 novembre 2014 Statut Membre Dernière intervention 31 juillet 2015 - 25 nov. 2014 à 14:54
A voir également:
- Interdire à deux PC de communiquer ensemble ACL
- Test performance pc - Guide
- Reinitialiser pc - Guide
- Deux ecran pc - Guide
- Pc lent - Guide
- Plus de son sur mon pc - Guide
4 réponses
kelux
Messages postés
3074
Date d'inscription
vendredi 18 juin 2004
Statut
Contributeur
Dernière intervention
20 janvier 2023
432
Modifié par kelux le 25/11/2014 à 14:25
Modifié par kelux le 25/11/2014 à 14:25
Dans cette deuxième commande le PC1 ne doit plus pouvoir communiquer avec le PC2 mais les ping sont toujours successfull.
Il faut voir le filtrage comme une succession de passoire/filtre. Si je suis pas retenu par le filtre, je passe au suivant etc ... lorsque je suis retenu par un filtre, je n'irai pas voir les filtres suivants ...
Donc il y a un ordre à l'application des règles (d'où les numéros).
Lorsque une règle "match" (correspond), le trafic est considéré comme traité, on ne regarde pas les règles qui sont après, puisque l'on a trouvé une correspondance plus tot dans le jeu de règles.
PIng utilise ICMP, vous autorisez icmp any to any.
Lorsque vous faites un ping, ça match la règle 100. On ne regarde pas plus loin, la connexion est considérée comme traitée car elle "a matché" une règle qui lui correspond.
Donc le Deny derrière ne matchera pas la connexion déja traitée juste avant... (icmp en l'occurence. Si on essaye autre chose ça matchera).
Vous dites aussi : J'ai donc tout d'abord permit tous les flux pour ensuite deny ceux qui doivent l'être
En Filtrage on ne procède "pas" comme ça, avec ce que je viens d'expliquer.
Par défaut on refuse TOUT. On appelle cela la stratégie par défaut : quand aucune règle ne matche, on refuse (on rejette les paquets).
Donc comment faire ?
On autorise seulement les machines à discuter en ICMP avec le serveur.
On refuse tout le reste.
Using a registry "compactor" on top of a registry "cleaner" would be equivalent to rinsing your throat with a swig of Jack Daniels after swallowing a pint of snake oil....
Il faut voir le filtrage comme une succession de passoire/filtre. Si je suis pas retenu par le filtre, je passe au suivant etc ... lorsque je suis retenu par un filtre, je n'irai pas voir les filtres suivants ...
Donc il y a un ordre à l'application des règles (d'où les numéros).
Lorsque une règle "match" (correspond), le trafic est considéré comme traité, on ne regarde pas les règles qui sont après, puisque l'on a trouvé une correspondance plus tot dans le jeu de règles.
PIng utilise ICMP, vous autorisez icmp any to any.
Lorsque vous faites un ping, ça match la règle 100. On ne regarde pas plus loin, la connexion est considérée comme traitée car elle "a matché" une règle qui lui correspond.
Donc le Deny derrière ne matchera pas la connexion déja traitée juste avant... (icmp en l'occurence. Si on essaye autre chose ça matchera).
Vous dites aussi : J'ai donc tout d'abord permit tous les flux pour ensuite deny ceux qui doivent l'être
En Filtrage on ne procède "pas" comme ça, avec ce que je viens d'expliquer.
Par défaut on refuse TOUT. On appelle cela la stratégie par défaut : quand aucune règle ne matche, on refuse (on rejette les paquets).
Donc comment faire ?
On autorise seulement les machines à discuter en ICMP avec le serveur.
On refuse tout le reste.
Using a registry "compactor" on top of a registry "cleaner" would be equivalent to rinsing your throat with a swig of Jack Daniels after swallowing a pint of snake oil....
kelux
Messages postés
3074
Date d'inscription
vendredi 18 juin 2004
Statut
Contributeur
Dernière intervention
20 janvier 2023
432
25 nov. 2014 à 14:50
25 nov. 2014 à 14:50
Navré, étant derrière un proxy d'entreprise , je ne peux pas voir votre lien.
Mais je suppose que les stations sont sur le meme brin ethernet.
Donc quand elles communiquent entre elles, elles ne devraient pas etre processées par les ACLs...
Faites les lien avec les sujets que vous abordez en cours pour trouver la solution.
Il y a plusieurs solutions possibles :
Isolation des clients dans chacun un VLAN.
Et la les ACLs seront applicables sur chaque Interface (on monte sur couche 3 pour le routage).
ou
ACL sur Ethernet.
ou
Je ne sais pas si le management Vlan (vlan1) a un comportement particulier avec les ACLs.
D'autre part, je ne sais plus comment appliquer une ACL (sur une interface, groupe/stack etc ... et comment elle est traitée par le niveau 2, j'ai un doute la dessus)
ça remonte trop loin, et je ne suis pas expert réseau.
Si cela avait été sous Linux j'aurais pu aider plus précisément.
Mais je suppose que les stations sont sur le meme brin ethernet.
Donc quand elles communiquent entre elles, elles ne devraient pas etre processées par les ACLs...
Faites les lien avec les sujets que vous abordez en cours pour trouver la solution.
Il y a plusieurs solutions possibles :
Isolation des clients dans chacun un VLAN.
Et la les ACLs seront applicables sur chaque Interface (on monte sur couche 3 pour le routage).
ou
ACL sur Ethernet.
ou
Je ne sais pas si le management Vlan (vlan1) a un comportement particulier avec les ACLs.
D'autre part, je ne sais plus comment appliquer une ACL (sur une interface, groupe/stack etc ... et comment elle est traitée par le niveau 2, j'ai un doute la dessus)
ça remonte trop loin, et je ne suis pas expert réseau.
Si cela avait été sous Linux j'aurais pu aider plus précisément.
Gotwol
Messages postés
5
Date d'inscription
mardi 25 novembre 2014
Statut
Membre
Dernière intervention
31 juillet 2015
Modifié par Gotwol le 25/11/2014 à 14:49
Modifié par Gotwol le 25/11/2014 à 14:49
Merci de votre réponse.
J'ai supprimé mes règles et je viens d'en créer une nouvelle qui deny any any.
Mais les pings sont toujours successfull.
Je vous donne un screen pour plus de clarté au niveau de l'archi.
http://hpics.li/be6a983
Avec ce switch routeur je ne peux pas assigner les règles à des ports, je peux seulement les assigner à un Vlan. En assignant la nouvelle règle au vlan 100 je n'ai pas d'impact.
Tout à l'heure j'avais créé des règles sans les assigner nulle part et il y avait quand même des impacts.
J'ai supprimé mes règles et je viens d'en créer une nouvelle qui deny any any.
Mais les pings sont toujours successfull.
Je vous donne un screen pour plus de clarté au niveau de l'archi.
http://hpics.li/be6a983
Avec ce switch routeur je ne peux pas assigner les règles à des ports, je peux seulement les assigner à un Vlan. En assignant la nouvelle règle au vlan 100 je n'ai pas d'impact.
Tout à l'heure j'avais créé des règles sans les assigner nulle part et il y avait quand même des impacts.
Gotwol
Messages postés
5
Date d'inscription
mardi 25 novembre 2014
Statut
Membre
Dernière intervention
31 juillet 2015
25 nov. 2014 à 14:54
25 nov. 2014 à 14:54
Je vais essayer tout ça, vous m'avez tout de même appris certaines choses je vous en remercie grandement !
Bonne journée à vous.
Bonne journée à vous.