cisco ACCESS-LIST Fermé

Question

salut à tous 
j'ai un routeur cisco et je voulai juste esseyer un truc avec les access-lists
mon probleme c'est que j'ai crée deux reseaux qui sont separé par un routeur cisco 2500 

le premier reseau a comme adresse      192.168.0.0
et dans ce reseau il ya deux machines la premiere elle a comme adresse IP 192.168.0.1 la deuxieme a 192.168.0.2 et le port ethernet 1/0 du routeur a comme adresse 192.168.0.3

le deuxieme reseau a comme adresse 192.168.1.0
et dans ce reseau il ya aussi deux machines la premiere elle comme adresse IP 192.168.1.1 la deuxieme a 192.168.1.2 et le port ethernet 1/1 du routeur a comme adresse 192.168.1.3

alors j'ai voulu interdire le poste 192.168.0.1 d'envoyer sur le reseaux 
donc j'ai utilisé la commande    "  ()#access-list 1 deny 192.168.0.1 0.0.0.0 "
et j'ai affecté l'access-list 1 au port ethernet 1/0 du routeur grace à la commande "IP access-group 1 out"
mais le probleme c'est que meme la machine 192.168.0.2 ne peux po envoyer sur le reseau (ou plutot pinguer sur une autre machine de l'autre reseau )
apres j'ai utilisé  " ()#access-list 1 permit 192.168.0.0 0.0.255.255 " pour permetre au reseau 192.168.0.0 d'envoyer sur le reseau (sauf la machine 192.168.0.1 ki est interdite ) mais là le probleme c'est ke meme la machine 192.168.0.1 peut envoyer sur le reseau

mon but c'est  simple : permettre à la machine 192.168.0.1 de recevoir mais po à envoyer et cela grace aux access-list 
si quelqu'un a bien compri mon probleme qu'il m'aide s'il vous plait

et merci d'avance

Spearhead · Answer

Une access list comprend l'expression implicite "deny all" en derniere commande... ce qui veut dire qu'une access list est faire pour autoriser certaine chose et refuser tout le reste... !!! c'est une base de la sécurité

Autrement dit ta premiere commande est inutile, car il suffit juste d'autoriser tout le réseau 192.168.0.0 SAUF 192.168.0.1... c'est comme ca que ca fonctionne !!!

Autrement dit il suffit de mettre :

access-list 1 permit 192.168.0.0 0.0.0.254

Donc tout le réseau 192.168.0.0 / 24 est autorisé sauf l'adresse 192.168.0.1

remarque : une ACL standart se place au plus pres de la source, il faut donc que tu l'appliques sur l'interface 192.168.0.0 IN !!!

hottsauce · Answer

désolé Spearhead j'ai appliqué ce ke vous m'avez demandé mais ça n'a po resolu le probleme heeeeeeeeeeelp svp

Spearhead · Answer

Tu as bien appliqué l'access list sur l'interface IN ?
As tu bien pensé a utiliser un protocole de routage ou a stipuler tes routes statiques ?

hottsauce · Answer

merci pour votre repnce 
bon voila ce ke j'ai fait    access-list 1 permit 192.168.0.0 0.0.0.254      pour permettre à tous le reseau d'envoyé

et   access-list 1 deny 192.168.0.1 255.255.255.255     pour interdire la machine 192.168.0.1

Spearhead · Answer

Ca ne sert a rien d'interdire puisque tout est interdit par défaut... c'est écrit au dessus

Ensuite il faut utiliser la commande ip access-group pour appliquer l'access-list sur l'interface

hottsauce · Answer

oui  Spearhead   voila ce ke je vien d'ecrire

access-list 1 permit 192.168.0.0 0.0.0.254 

ensuite       ip access-group 1 out       sur l'interface ethernet 1/0    qui est liéau reseau 192.168.0.0

mais le meme probleme meme la machine qui a comme adresse IP 192.168.0.2 ne peut po envoyer sur le reseau

Spearhead · Answer

remarque : une ACL standart se place au plus pres de la source, il faut donc que tu l'appliques sur l'interface 192.168.0.0 IN !!!

et tu dois créer une access list 2 avec un permit any que tu appliquera sur l'interface OUT, ou alors tu fais un no ip access-groupe 1 OUT car tu a appliqué ton ACCESS LIST sur la movaise interface

slaxa · Answer

bon je croi ke il fau deny le pc ac le reseau pui permtr any any
access-list 1 deny host 192.168.0.1 192.168.1.0
access-list 1 permit any any 

sur l'interface eth 0/1 sur le in  c ladress 192.168.0.3

Cisco ACCESS-LIST

8 réponses

Discussions similaires