Discussion :

[selmagsi]

Salut les développeur
pouvez vous me donner une idée sur les ACL juste ou mettre mon ACL (le choix du routeur ne pose pas problème ) mon problème c'est je ne sais pas faire la différence entre la mettre en IN ou en OUT
merci d'avance pour votre aide précieuse
cordialement

[elssar]

Bonjour,

Ta question est difficilement compréhensible.

Particulièrement la phrase "pouvez vous me donner une idée sur les ACL juste ou mettre mon ACL". Mais je vais quand même essayer de t'aider en fonction de ce que j'ai compris.

"pouvez vous me donner une idée sur les ACL juste ou mettre mon ACL"
Une ACL peut se placer sur pas mal de chose, router, firewall etc. Donc tout dépend de ton infra.

Et pour la question sur IN et OUT. C'est pas très sorcier ;

Le but d'une ACL c'est de bloquer un trafic (par exemple le trafic icmp : ping). Donc le IN/OUT dépend du sens dans lequel va ton trafic.

Par exemple, tu ne souhaites pas que ton router puisse être ping depuis l'extérieur, c'est un trafic entrant, donc tu utilises le IN.

[ram-0000]

Il faut bien voir qu'une ACL est appliquée sur une interface de routeur ou firewall. Que cette interface soit interne, externe ou inter-site, c'est ton problème, à toi de connaitre la topologie de ton réseau.

Une ACL IN va filtrer le trafic entrant (IN) sur une interface
Une ACL OUT va filtrer le trafic sortant (OUT) sur une interface

En général, ou positionne des ACL IN sur l'interface externe afin de ne pas polluer le réseau interne avec des attaques provenant de l'extérieur et en général toujours, on met des ACL OUT pour ne pas polluer Internet avec des info internes (il n'est pas forcément utile de propager NetBios ou SNMP vers Internet pour des raisons de confidentialité ).

En général, toujours, on essaye de mettre les ACL le plus près possible de la source de ce que l'on veut bloquer. Pas la peine de router un paquet s'il va être filtrer par l'interface de sortie par exemple.

Et enfin, ne pas oublier que les ACL sont unidirectionnelles, si on autorise un flux, il faut aussi penser à la réponse et l'autoriser aussi (il y a plusieurs possibilités suivant ton matériel s'il est statefull ou non)

[selmagsi]

Merci a vous deux ,j'ai toujours des confusions mais je vois plus clair maintenant
supposons que j'ai la topologie ci jointe

et que pour le réseau 192.168.10.0/24 je dois bloquer l'accés Telnet vers tous les emplacements ,je sais que je la mets dans le routeur à gauche(R1) mais je vois que si je la mets sur fa 0/0 je la mets en in et ça marchera et si sur le serial 0/0/0 en out et ça marchera donc comment faire .??

[ram-0000]

Tu dois installer une "bulle protectrice" pour empêcher le protocole telnet à destination de 192.168.10.0/24. Cette bulle doit être le plus près possible de l'objet à protéger pour au moins 3 raisons :

• Compréhension, le réseau 192168.10.0 est sur le routeur R1 donc l'ACL doit être sur le routeur R1. Si tu la mets sur d'autres routeurs, cela marchera aussi mais il faudra expliquer le pourquoi du comment lors de futures modifications de ces routeurs qui ne connaissent pas le réseau 192.168.10.0 (et il y en aura, je ne connais pas de réseau qui ne "bougent" pas)
• Performance, plus l'ACL est proche de l'objet à protéger, plus est elle est simple et donc rapide à analyser par le routeur. Tu vas peut être dans ton cas ganber 1 poignée de micro secondes (ce qui n'est pas lourd, j'en conviens) mais imagine la cas sur un gros routeur avec 20 interfaces, une centaine de VLAN et environ 10000 ACL
• Gestion des effets de bord, plus l'ACL est proche de l'objet à protéger, plus elle est pertinente et moins des modifications sur d'autres ACL risquent d'avoir d'impact sur cette ACL

Donc pour au moins toutes ces raisons, je la mettrais sur le routeur R1 et sur l'interface fa0/0 en OUT. Après, tout un tas d'autres solutions sont possibles et valides mais j'ai argumenté ma vision des choses

[selmagsi]

merci pour les arguments mais je trouve illégale de dire fa0/0 en out du moment que le paquet ne rentre pas comment puisse je dire que out?? in c'est ok mais pas out

[ram-0000]

merci pour les arguments mais je trouve illégale de dire fa0/0 en out du moment que le paquet ne rentre pas comment puisse je dire que out?? in c'est ok mais pas out

IN, c'est entrant donc du réseau 192.168.10.0/24 vers le routeur
OUT, c'est sortant; donc du routeur vers le réseau

Les ACL, c'est toujours le point de vue de l'interface du routeur

Tu veux protéger le réseau 192.168.10.0, c'est bien du OUT, le routeur va empêcher les paquets de sortir vers le réseau (et le réseau sera protégé)

[selmagsi]

@Raymond merci infiniment c'est claire maintenant