ACL et VLAN
Billybus
Messages postés
3
Date d'inscription
Statut
Membre
Dernière intervention
-
brupala Messages postés 112045 Date d'inscription Statut Membre Dernière intervention -
brupala Messages postés 112045 Date d'inscription Statut Membre Dernière intervention -
Bonjour,
Je viens demander de l'aide, car j'ai du mal à comprendre comment utiliser les ACL.
En fait je dois empêcher l’accès de vlan entre eux sauf un qui contient serveurs, imprimantes et pfSense par lequel tous doivent passer pour accéder a internet.
Exemple sur ce schéma: http://img4.hostingpics.net/pics/565392shemasimpleacl.png
Les différents vlan 10, 20, 40, 50, 60 ne communiquent pas entre eux.
Mais tous accède a vlan 30 et inversement.
Je pensais faire sur l'interface de chaque vlan une interdiction "IN" vers les réseaux des autres vlan et autoriser tout le reste.
Ex sur la patte du vlan 10:
int fa0/0.10
ip access-group 100 in
access-list 100 deny ip any 10.20.0.0 0.0.255.255
access-list 100 deny ip any 10.40.0.0 0.0.255.255
access-list 100 deny ip any 10.50.0.0 0.0.255.255
access-list 100 deny ip any 10.60.0.0 0.0.255.255
access-list 100 permit ip any any
Au maxi il y aura une dizaine de réseau / vlan a entrée.
Est-ce que ça suffit ou faut-il en plus la même chose en "out" ?
Et pour internet et le vlan 30 avec la ligne, "access-list 100 permit ip any any" ça passera ?
Avant de faire n'importe quoi j'aimerais avoir l'avis/aide de personne qui maitrise et faire quelque chose de propre.
Merci d'avance.
Je viens demander de l'aide, car j'ai du mal à comprendre comment utiliser les ACL.
En fait je dois empêcher l’accès de vlan entre eux sauf un qui contient serveurs, imprimantes et pfSense par lequel tous doivent passer pour accéder a internet.
Exemple sur ce schéma: http://img4.hostingpics.net/pics/565392shemasimpleacl.png
Les différents vlan 10, 20, 40, 50, 60 ne communiquent pas entre eux.
Mais tous accède a vlan 30 et inversement.
Je pensais faire sur l'interface de chaque vlan une interdiction "IN" vers les réseaux des autres vlan et autoriser tout le reste.
Ex sur la patte du vlan 10:
int fa0/0.10
ip access-group 100 in
access-list 100 deny ip any 10.20.0.0 0.0.255.255
access-list 100 deny ip any 10.40.0.0 0.0.255.255
access-list 100 deny ip any 10.50.0.0 0.0.255.255
access-list 100 deny ip any 10.60.0.0 0.0.255.255
access-list 100 permit ip any any
Au maxi il y aura une dizaine de réseau / vlan a entrée.
Est-ce que ça suffit ou faut-il en plus la même chose en "out" ?
Et pour internet et le vlan 30 avec la ligne, "access-list 100 permit ip any any" ça passera ?
Avant de faire n'importe quoi j'aimerais avoir l'avis/aide de personne qui maitrise et faire quelque chose de propre.
Merci d'avance.
3 réponses
Salut,
dans une ACL en général,
il vaut mieux tout interdire et n'autoriser que ce dont tu as besoin.
C'est pour ça que toutes les ACL comportent un deny all implicite à la fin.
Donc un permit de ce que tu veux faire passer sera suffisant.
dans une ACL en général,
il vaut mieux tout interdire et n'autoriser que ce dont tu as besoin.
C'est pour ça que toutes les ACL comportent un deny all implicite à la fin.
Donc un permit de ce que tu veux faire passer sera suffisant.
Bonjour Burpala,
Merci de ton aide.
Je viens de tester sur packet tracer en suivant ton exemple une règle qui marche.
Sur l'interface de mon vlan 10 pour tout bloquer sauf le vlan 30, je devrais donc faire ceci:
int fa0/0.10
ip access-group 1 out (routeur vers vlan 10)
R1(config)#access-list 1 remark accès vlan 30 only
R1(config)#access-list 1 permit 10.30.0.0 0.0.255.255 (mon vlan 30)
Par contre la réponse au ping et bloqué quand je je ping une machine du vlan 10 :/.
Il me reste encore un gros problème.
J’accède a mon routeur NAT qui est dans le vlan 30 ok, mais quand une machine veut accéder a internet, la réponse sera bloque par le "deny all" du coup.
J'ai vu cette règle qui semble corriger ce problème:
R1(config)#access-list 1 permit tcp any 10.10.0.0 0.0.255.255 established
Cette règle te parait elle bonne ?
Et si oui est ce que je peut la mettre a la suite de celles plus hautes, car on dirait des ACL standard et étendue.
Et je suppose qu'on ne les mélange pas.
Merci d'avance :)
Merci de ton aide.
Je viens de tester sur packet tracer en suivant ton exemple une règle qui marche.
Sur l'interface de mon vlan 10 pour tout bloquer sauf le vlan 30, je devrais donc faire ceci:
int fa0/0.10
ip access-group 1 out (routeur vers vlan 10)
R1(config)#access-list 1 remark accès vlan 30 only
R1(config)#access-list 1 permit 10.30.0.0 0.0.255.255 (mon vlan 30)
Par contre la réponse au ping et bloqué quand je je ping une machine du vlan 10 :/.
Il me reste encore un gros problème.
J’accède a mon routeur NAT qui est dans le vlan 30 ok, mais quand une machine veut accéder a internet, la réponse sera bloque par le "deny all" du coup.
J'ai vu cette règle qui semble corriger ce problème:
R1(config)#access-list 1 permit tcp any 10.10.0.0 0.0.255.255 established
Cette règle te parait elle bonne ?
Et si oui est ce que je peut la mettre a la suite de celles plus hautes, car on dirait des ACL standard et étendue.
Et je suppose qu'on ne les mélange pas.
Merci d'avance :)
Yop
Bon j'ai refait un test avec 3 vlan:
R1(config)#int fa 0/0.1 (passerelle vlan 1)
R1(config-subif)#ip access-group 1 out
R1(config-subif)#ip access-group 2 in
R1(config)#access-list 1 remark acces vlan 3 only
R1(config)#access-list 1 permit 10.150.0.0 0.0.255.255
R1(config)#access-list 2 remark reponse vlan 1
R1(config)#access-list 2 permit 10.21.0.0 0.0.255.255
A priori c'est bon.
Mes vlan 1 et 3 communique bien, ça ping dans les deux sens c'est ok.
Mon vlan 2 na plus accès au vlan 1, ce que je voulais, c'est ok.
________________________________________________________________
Reste cette histoire d’accès a internet.
J'avais lu que "established" faisait une exception si c'est une machine du réseau de l'acces-list concerné établissait le contact.
Je pensais pas non plus en passant par un routeur NATavoir besoin de quelque chose comme ca :
permit tcp (@ip_reseau_local) any eq 80
permit tcp (@ip_reseau_local) any eq 443
Je me demandais aussi si je peux mettre plusieur acl in ou out sur une interface ?
Bref j'en ai assez pour ce soir, je verrais demain.
Merci pour ton aide Brupala.
Bon j'ai refait un test avec 3 vlan:
R1(config)#int fa 0/0.1 (passerelle vlan 1)
R1(config-subif)#ip access-group 1 out
R1(config-subif)#ip access-group 2 in
R1(config)#access-list 1 remark acces vlan 3 only
R1(config)#access-list 1 permit 10.150.0.0 0.0.255.255
R1(config)#access-list 2 remark reponse vlan 1
R1(config)#access-list 2 permit 10.21.0.0 0.0.255.255
A priori c'est bon.
Mes vlan 1 et 3 communique bien, ça ping dans les deux sens c'est ok.
Mon vlan 2 na plus accès au vlan 1, ce que je voulais, c'est ok.
________________________________________________________________
Reste cette histoire d’accès a internet.
J'avais lu que "established" faisait une exception si c'est une machine du réseau de l'acces-list concerné établissait le contact.
Je pensais pas non plus en passant par un routeur NATavoir besoin de quelque chose comme ca :
permit tcp (@ip_reseau_local) any eq 80
permit tcp (@ip_reseau_local) any eq 443
Je me demandais aussi si je peux mettre plusieur acl in ou out sur une interface ?
Bref j'en ai assez pour ce soir, je verrais demain.
Merci pour ton aide Brupala.