Cisco ACCESS-LIST
hottsauce
Messages postés
87
Statut
Membre
-
mahdows -
mahdows -
salut à tous
j'ai un routeur cisco et je voulai juste esseyer un truc avec les access-lists
mon probleme c'est que j'ai crée deux reseaux qui sont separé par un routeur cisco 2500
le premier reseau a comme adresse 192.168.0.0
et dans ce reseau il ya deux machines la premiere elle a comme adresse IP 192.168.0.1 la deuxieme a 192.168.0.2 et le port ethernet 1/0 du routeur a comme adresse 192.168.0.3
le deuxieme reseau a comme adresse 192.168.1.0
et dans ce reseau il ya aussi deux machines la premiere elle comme adresse IP 192.168.1.1 la deuxieme a 192.168.1.2 et le port ethernet 1/1 du routeur a comme adresse 192.168.1.3
alors j'ai voulu interdire le poste 192.168.0.1 d'envoyer sur le reseaux
donc j'ai utilisé la commande " ()#access-list 1 deny 192.168.0.1 0.0.0.0 "
et j'ai affecté l'access-list 1 au port ethernet 1/0 du routeur grace à la commande "IP access-group 1 out"
mais le probleme c'est que meme la machine 192.168.0.2 ne peux po envoyer sur le reseau (ou plutot pinguer sur une autre machine de l'autre reseau )
apres j'ai utilisé " ()#access-list 1 permit 192.168.0.0 0.0.255.255 " pour permetre au reseau 192.168.0.0 d'envoyer sur le reseau (sauf la machine 192.168.0.1 ki est interdite ) mais là le probleme c'est ke meme la machine 192.168.0.1 peut envoyer sur le reseau
mon but c'est simple : permettre à la machine 192.168.0.1 de recevoir mais po à envoyer et cela grace aux access-list
si quelqu'un a bien compri mon probleme qu'il m'aide s'il vous plait
et merci d'avance
j'ai un routeur cisco et je voulai juste esseyer un truc avec les access-lists
mon probleme c'est que j'ai crée deux reseaux qui sont separé par un routeur cisco 2500
le premier reseau a comme adresse 192.168.0.0
et dans ce reseau il ya deux machines la premiere elle a comme adresse IP 192.168.0.1 la deuxieme a 192.168.0.2 et le port ethernet 1/0 du routeur a comme adresse 192.168.0.3
le deuxieme reseau a comme adresse 192.168.1.0
et dans ce reseau il ya aussi deux machines la premiere elle comme adresse IP 192.168.1.1 la deuxieme a 192.168.1.2 et le port ethernet 1/1 du routeur a comme adresse 192.168.1.3
alors j'ai voulu interdire le poste 192.168.0.1 d'envoyer sur le reseaux
donc j'ai utilisé la commande " ()#access-list 1 deny 192.168.0.1 0.0.0.0 "
et j'ai affecté l'access-list 1 au port ethernet 1/0 du routeur grace à la commande "IP access-group 1 out"
mais le probleme c'est que meme la machine 192.168.0.2 ne peux po envoyer sur le reseau (ou plutot pinguer sur une autre machine de l'autre reseau )
apres j'ai utilisé " ()#access-list 1 permit 192.168.0.0 0.0.255.255 " pour permetre au reseau 192.168.0.0 d'envoyer sur le reseau (sauf la machine 192.168.0.1 ki est interdite ) mais là le probleme c'est ke meme la machine 192.168.0.1 peut envoyer sur le reseau
mon but c'est simple : permettre à la machine 192.168.0.1 de recevoir mais po à envoyer et cela grace aux access-list
si quelqu'un a bien compri mon probleme qu'il m'aide s'il vous plait
et merci d'avance
A voir également:
- Cisco ACCESS-LIST
- List disk - Guide
- Directory list & print - Télécharger - Divers Utilitaires
- Access runtime ✓ - Forum Access
- Exemple base de données access à télécharger gratuit - Forum Access
- Access appdata - Guide
8 réponses
Ca ne sert a rien d'interdire puisque tout est interdit par défaut... c'est écrit au dessus
Ensuite il faut utiliser la commande ip access-group pour appliquer l'access-list sur l'interface
Ensuite il faut utiliser la commande ip access-group pour appliquer l'access-list sur l'interface
oui Spearhead voila ce ke je vien d'ecrire
access-list 1 permit 192.168.0.0 0.0.0.254
ensuite ip access-group 1 out sur l'interface ethernet 1/0 qui est liéau reseau 192.168.0.0
mais le meme probleme meme la machine qui a comme adresse IP 192.168.0.2 ne peut po envoyer sur le reseau
access-list 1 permit 192.168.0.0 0.0.0.254
ensuite ip access-group 1 out sur l'interface ethernet 1/0 qui est liéau reseau 192.168.0.0
mais le meme probleme meme la machine qui a comme adresse IP 192.168.0.2 ne peut po envoyer sur le reseau
Une access list comprend l'expression implicite "deny all" en derniere commande... ce qui veut dire qu'une access list est faire pour autoriser certaine chose et refuser tout le reste... !!! c'est une base de la sécurité
Autrement dit ta premiere commande est inutile, car il suffit juste d'autoriser tout le réseau 192.168.0.0 SAUF 192.168.0.1... c'est comme ca que ca fonctionne !!!
Autrement dit il suffit de mettre :
access-list 1 permit 192.168.0.0 0.0.0.254
Donc tout le réseau 192.168.0.0 / 24 est autorisé sauf l'adresse 192.168.0.1
remarque : une ACL standart se place au plus pres de la source, il faut donc que tu l'appliques sur l'interface 192.168.0.0 IN !!!
Autrement dit ta premiere commande est inutile, car il suffit juste d'autoriser tout le réseau 192.168.0.0 SAUF 192.168.0.1... c'est comme ca que ca fonctionne !!!
Autrement dit il suffit de mettre :
access-list 1 permit 192.168.0.0 0.0.0.254
Donc tout le réseau 192.168.0.0 / 24 est autorisé sauf l'adresse 192.168.0.1
remarque : une ACL standart se place au plus pres de la source, il faut donc que tu l'appliques sur l'interface 192.168.0.0 IN !!!
désolé Spearhead j'ai appliqué ce ke vous m'avez demandé mais ça n'a po resolu le probleme heeeeeeeeeeelp svp
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Tu as bien appliqué l'access list sur l'interface IN ?
As tu bien pensé a utiliser un protocole de routage ou a stipuler tes routes statiques ?
As tu bien pensé a utiliser un protocole de routage ou a stipuler tes routes statiques ?
merci pour votre repnce
bon voila ce ke j'ai fait access-list 1 permit 192.168.0.0 0.0.0.254 pour permettre à tous le reseau d'envoyé
et access-list 1 deny 192.168.0.1 255.255.255.255 pour interdire la machine 192.168.0.1
bon voila ce ke j'ai fait access-list 1 permit 192.168.0.0 0.0.0.254 pour permettre à tous le reseau d'envoyé
et access-list 1 deny 192.168.0.1 255.255.255.255 pour interdire la machine 192.168.0.1
remarque : une ACL standart se place au plus pres de la source, il faut donc que tu l'appliques sur l'interface 192.168.0.0 IN !!!
et tu dois créer une access list 2 avec un permit any que tu appliquera sur l'interface OUT, ou alors tu fais un no ip access-groupe 1 OUT car tu a appliqué ton ACCESS LIST sur la movaise interface
et tu dois créer une access list 2 avec un permit any que tu appliquera sur l'interface OUT, ou alors tu fais un no ip access-groupe 1 OUT car tu a appliqué ton ACCESS LIST sur la movaise interface
