Les Forums

Les Forums

Les forums sont fermés. Ils restent présent pour consultation et archivage.
Vous pouvez désormais poser vos questions directement dans les commentaires en bas de chaque page du site.
Alors n'hésitez pas à participer

ACL Cisco

Bonjour,
Je voudrais juste avoir confirmation, mais je préfére demander car le routeur que nous avons est en production.
D'abord la situation, nous avons de nombreux VLAN et réseaux de défini sur notre routeur Cisco, tout passe par lui.
Aucune ACL n'a encore été défini sur lui et j'aimerais en mettre un peu pour sécuriser et surtout interdire un réseau en particulier de dialoguer avec le reste du LAN.
Je voudrais rajouter ce genre d'ACL:
access-list 101 permit ip 192.168.30.0 0.0.1.255 host 172.20.1.56
access-list 101 permit udp 192.168.30.0 0.0.1.255 host 172.20.1.56
access-list 101 permit tcp 192.168.30.0 0.0.1.255 host 172.20.1.56
access-list 101 deny 192.168.30.0 0.0.1.255 any

Pour empêcher le réseau 192.168.30.0 d’accéder aux autres réseaux et juste accéder à l'hote 172.20.1.56.

Je voudrais juste savoir si cela ne bloquera rien d'autre entre mes différents vlan et réseau. Ou si il faut que je rajoute des autres acl.
Bonjour,

Tu peux essayer de monter une maquette avec GNS3 (émulateur de routeurs Cisco, à charger avec l'IOS de production) et tester ton ACL.
bonjour,

Les lignes 2 et 3 de ton ACL sont inutiles
access-list 101 permit udp 192.168.30.0 0.0.1.255 host 172.20.1.56
access-list 101 permit tcp 192.168.30.0 0.0.1.255 host 172.20.1.56

La première ligne autorisant tout le trafic IP en provenance de 192.168.30.0 vers la machine définie, tout ce qui sera en TCP et en UDP sera forcément déjà autorisé à la première étape.
attention ! Implicitement à la fin de ton ACL il y a un Deny any any donc tu fermes tout autre trafic autre que celui des machines 192.168.30.0 vers 172.20.1.56.
si c'est bien ce que tu souhaites tu n'as plus qu'à mettre cette ACL en IN sur ton interface du réseau 192.168.30.0 et le tour est joué.

Il ne faut pas perdre de vue que tes machines du réseau 192.168.30.0 seront INJOIGNABLES depuis n'importe quel autre réseau si tu fais cela. mais si c'est le but c'est tout bon.

voili voilou

tibo