Aide svp , access-list
hottsauce
Messages postés
87
Statut
Membre
-
Spearhead Messages postés 355 Date d'inscription Statut Membre Dernière intervention -
Spearhead Messages postés 355 Date d'inscription Statut Membre Dernière intervention -
salut à tous
mon probleme c'est que j'ai crée deux reseaux qui sont separés par un routeur cisco 2500
le premier reseau a comme adresse 192.168.0.0
et dans ce reseau il ya deux machines la premiere elle a comme adresse IP 192.168.0.1 la deuxieme a 192.168.0.2 et le port ethernet 1/0 du routeur a comme adresse 192.168.0.3
le deuxieme reseau a comme adresse 192.168.1.0
et dans ce reseau il ya aussi deux machines la premiere elle comme adresse IP 192.168.1.1 la deuxieme a 192.168.1.2 et le port ethernet 1/1 du routeur a comme adresse 192.168.1.3
alors j'ai voulu interdire le poste 192.168.0.1 d'envoyer sur le reseaux (interdire le ping sur une machine de l'autre reseau par exemple) mais en meme temps la possibilité de recevoir (etre pinguer) alors j'ai effectué les taches suivantes :
Router(config)#access-list 101 permit tcp any any
Router(config)#access-list 101 permit udp any any
Router(config)#access-list 101 deny ip host 192.168.0.1 any
Router(config)#access-list 101 permit ip any any
Router(config)#interface Ethernet1/0
Router(config-if)#ip access-group 101 in
donc la j'ai pu interdire la machine 192.168.0.1 de pinguer sur l'autre reseau mais le probleme c'est que les autre machines (192.168.1.1 et 192.168.1.2 ) peuvent pas pinguer 192.168.0.1
ce que je veux c'est permettre la machine 192.168.0.1 de recevoir et pas envoyer
et merci d'avance
mon probleme c'est que j'ai crée deux reseaux qui sont separés par un routeur cisco 2500
le premier reseau a comme adresse 192.168.0.0
et dans ce reseau il ya deux machines la premiere elle a comme adresse IP 192.168.0.1 la deuxieme a 192.168.0.2 et le port ethernet 1/0 du routeur a comme adresse 192.168.0.3
le deuxieme reseau a comme adresse 192.168.1.0
et dans ce reseau il ya aussi deux machines la premiere elle comme adresse IP 192.168.1.1 la deuxieme a 192.168.1.2 et le port ethernet 1/1 du routeur a comme adresse 192.168.1.3
alors j'ai voulu interdire le poste 192.168.0.1 d'envoyer sur le reseaux (interdire le ping sur une machine de l'autre reseau par exemple) mais en meme temps la possibilité de recevoir (etre pinguer) alors j'ai effectué les taches suivantes :
Router(config)#access-list 101 permit tcp any any
Router(config)#access-list 101 permit udp any any
Router(config)#access-list 101 deny ip host 192.168.0.1 any
Router(config)#access-list 101 permit ip any any
Router(config)#interface Ethernet1/0
Router(config-if)#ip access-group 101 in
donc la j'ai pu interdire la machine 192.168.0.1 de pinguer sur l'autre reseau mais le probleme c'est que les autre machines (192.168.1.1 et 192.168.1.2 ) peuvent pas pinguer 192.168.0.1
ce que je veux c'est permettre la machine 192.168.0.1 de recevoir et pas envoyer
et merci d'avance
A voir également:
- Aide svp , access-list
- List disk - Guide
- Directory list & print - Télécharger - Divers Utilitaires
- Access appdata - Guide
- Acer quick access - Forum logiciel systeme
- Désinstaller ACER QUICK ACCESS - Forum Logiciels
2 réponses
C'est pas la premiere fois que tu post a ce sujet !!!
Je vais tenter de te réexpliquer :
Tout d'abord, une access-list contient un deny all implicite a la fin :
On ne doit pas autoriser tout mais simplement ce que l'on veut. Tout le reste est refusé.
Une access-list = une suite de test
MAIS
Une fois qu'un paquet a matché une condition, il est soit accepté soit refusé, mais il ne passe pas les tests suivants !!!
Ce que tu as fait est correcte mais ca n'est pas optimale.
l'idéal serait : access-list 101 permit ip 192.168.0.0 0.0.0.254 any
Autrement dit on refuse tout sauf les adresses de 192.168.0.2 a 192.168.0.255
que tu appliquerai sur l'interface IN
Attention, il n'est pas possible de pouvoir pinger un hote qui ne peut pas pinger : pour pouvoir pinger, il faut que le paquet ICMP passe de l'hote piguant vers l'hote pigué, puis que l'hote pingué réponde a l'hote pinguant !!! Si tu bloque l'accès de l'hote que tu veux pingué au réseau, il ne pourra pas répondre et donc jamais etre pingué !!!
Je vais tenter de te réexpliquer :
Tout d'abord, une access-list contient un deny all implicite a la fin :
On ne doit pas autoriser tout mais simplement ce que l'on veut. Tout le reste est refusé.
Une access-list = une suite de test
MAIS
Une fois qu'un paquet a matché une condition, il est soit accepté soit refusé, mais il ne passe pas les tests suivants !!!
Ce que tu as fait est correcte mais ca n'est pas optimale.
l'idéal serait : access-list 101 permit ip 192.168.0.0 0.0.0.254 any
Autrement dit on refuse tout sauf les adresses de 192.168.0.2 a 192.168.0.255
que tu appliquerai sur l'interface IN
Attention, il n'est pas possible de pouvoir pinger un hote qui ne peut pas pinger : pour pouvoir pinger, il faut que le paquet ICMP passe de l'hote piguant vers l'hote pigué, puis que l'hote pingué réponde a l'hote pinguant !!! Si tu bloque l'accès de l'hote que tu veux pingué au réseau, il ne pourra pas répondre et donc jamais etre pingué !!!
tu as très bien expliqué le fonctionnement de l'access-list mais,
un filtre permit 192.168.0.0 0.0.0.254 bloque en fait effectivement 192.168.0.1 et 192.168.0.255 , mais également TOUTES les adresses impaires (sur le dernier octet) entre 192.168.0.2 et 192.168.0.254 .
.3,.5,.7 .....
en fait, il n'autorise que .2, .4, .6 ,.8 .....