1 2 3 4 5 6 7 8 9
| |-----------| DMZ
|
|e1
+---+
| R |
+---+
|e0
|
|-----------| Réseau interne |
On veut que le réseau interne accède à la DMZ mais pas le contraire.
Si on parle de TCP, sur l'interface e1, on ne va laisser passer que les paquets qui font partie d'un flux TCP existant (donc TCP bit flags ACK et RST à on). On part également du principe que les connexions TCP initialisées depuis le réseau interne sont faites à partir d'un port source TCP supérieur à 1023.
D'où l'access-list suivante qu'on va positionner sur l'interface e1 :
1 2 3 4
| int e1
ip access-group 101 in
!
access-list 101 permit tcp any any gt 1023 established |
Je te laisse gérer les aspects UDP s'il y en a (DNS notamment, peut-être que des machines de ta DMZ en ont besoin).
Steph
Partager