ACL et VLAN Fermé

Question

Bonjour, 

Je viens demander de l'aide, car j'ai du mal à comprendre comment utiliser les ACL.

En fait je dois empêcher l’accès de vlan entre eux sauf un qui contient serveurs, imprimantes et pfSense par lequel tous doivent passer pour accéder a internet.

Exemple sur ce schéma: http://img4.hostingpics.net/pics/565392shemasimpleacl.png
Les différents vlan 10, 20, 40, 50, 60 ne communiquent pas entre eux.
Mais tous accède a vlan 30 et inversement.


Je pensais faire sur l'interface de chaque vlan une interdiction "IN" vers les réseaux des autres vlan et autoriser tout le reste.

Ex sur la patte du vlan 10:
int fa0/0.10 
ip access-group 100 in 

access-list 100 deny ip any 10.20.0.0 0.0.255.255 
access-list 100 deny ip any 10.40.0.0 0.0.255.255 
access-list 100 deny ip any 10.50.0.0 0.0.255.255 
access-list 100 deny ip any 10.60.0.0 0.0.255.255 
access-list 100 permit ip any any

Au maxi il y aura une dizaine de réseau / vlan a entrée.
Est-ce que ça suffit ou faut-il en plus la même chose en "out" ?
Et pour internet et le vlan 30 avec la ligne, "access-list 100 permit ip any any" ça passera ?


Avant de faire n'importe quoi j'aimerais avoir l'avis/aide de personne qui maitrise et faire quelque chose de propre.
Merci d'avance.

brupala · Answer

Salut,
dans une ACL en général,
il vaut mieux tout interdire et n'autoriser que ce dont tu as besoin.
C'est pour ça que toutes les ACL comportent un deny all implicite à la fin.
Donc un permit de ce que tu veux faire passer sera suffisant.

Billybus · Answer

Bonjour Burpala,

Merci de ton aide.

Je viens de tester sur packet tracer en suivant ton exemple une règle qui marche.

Sur l'interface de mon vlan 10 pour tout bloquer sauf le vlan 30, je devrais donc faire ceci: 

int fa0/0.10
ip access-group 1 out   (routeur vers vlan 10)

R1(config)#access-list 1 remark accès vlan 30 only
R1(config)#access-list 1 permit 10.30.0.0 0.0.255.255  (mon vlan 30)

Par contre la réponse au ping et bloqué quand je je ping une machine du vlan 10 :/.


Il me reste encore un gros problème.
J’accède a mon routeur NAT qui est dans le vlan 30 ok, mais quand une machine veut accéder a internet, la réponse sera bloque par le "deny all" du coup.
J'ai vu cette règle qui semble corriger ce problème:

R1(config)#access-list 1 permit tcp any 10.10.0.0 0.0.255.255 established

Cette règle te parait elle bonne ?
Et si oui est ce que je peut la mettre a la suite de celles plus hautes, car on dirait des ACL standard et étendue.
Et je suppose qu'on ne les mélange pas.


Merci d'avance :)

Billybus · Answer

Yop

Bon j'ai refait un test avec 3 vlan:

R1(config)#int fa 0/0.1  (passerelle vlan 1)

R1(config-subif)#ip access-group 1 out
R1(config-subif)#ip access-group 2 in

R1(config)#access-list 1 remark acces vlan 3 only
R1(config)#access-list 1 permit 10.150.0.0 0.0.255.255

R1(config)#access-list 2 remark reponse vlan 1
R1(config)#access-list 2 permit 10.21.0.0 0.0.255.255

A priori c'est bon.
Mes vlan 1 et 3 communique bien, ça ping dans les deux sens c'est ok.
Mon vlan 2 na plus accès au vlan 1, ce que je voulais, c'est ok. 

________________________________________________________________

Reste cette histoire d’accès a internet.

J'avais lu que "established" faisait une exception si c'est une machine du réseau de l'acces-list concerné établissait le contact.

Je pensais pas non plus en passant par un routeur NATavoir besoin de quelque chose comme ca :
permit tcp (@ip_reseau_local) any eq 80
permit tcp (@ip_reseau_local) any eq 443


Je me demandais aussi si je peux mettre plusieur acl in ou out sur une interface ?

Bref j'en ai assez pour ce soir, je verrais demain.

Merci pour ton aide Brupala.

ACL et VLAN

3 réponses

Discussions similaires