Discussion :

[JokerAs]

Bonjour, je souhaiterai avoir plus d'informations concernant les ACL Cisco.

Je possède deux réseaux, une DMZ et mon réseau local. Je souhaiterai que ma DMZ accède uniquement à internet. pour celà j'ai effectué
http://puu.sh/gYIJS.png

Puis activé sur l'interface. J'aimerai maintenant faire en sorte que mon réseau local accède à ma DMZ. (avec le protocole IP) mais que ma DMZ ne puisse pas accèder à mon réseau local.

j'ai vu qu'il existait l'option established cependant, je n'arrive pas a de bon résultat pour l'instant.

Quelqu'un pourrait m'aiguiller ? merci

[Invité]

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
|-----------| DMZ
      |
      |e1
    +---+
    | R |
    +---+
      |e0
      |
|-----------| Réseau interne

On veut que le réseau interne accède à la DMZ mais pas le contraire.


Si on parle de TCP, sur l'interface e1, on ne va laisser passer que les paquets qui font partie d'un flux TCP existant (donc TCP bit flags ACK et RST à on). On part également du principe que les connexions TCP initialisées depuis le réseau interne sont faites à partir d'un port source TCP supérieur à 1023.


D'où l'access-list suivante qu'on va positionner sur l'interface e1 :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
int e1
ip access-group 101 in
!
access-list 101 permit tcp any any gt 1023 established

Je te laisse gérer les aspects UDP s'il y en a (DNS notamment, peut-être que des machines de ta DMZ en ont besoin).


Steph

[JokerAs]

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
|-----------| DMZ
      |
      |e1
    +---+
    | R |
    +---+
      |e0
      |
|-----------| Réseau interne

On veut que le réseau interne accède à la DMZ mais pas le contraire.


Si on parle de TCP, sur l'interface e1, on ne va laisser passer que les paquets qui font partie d'un flux TCP existant (donc TCP bit flags ACK et RST à on). On part également du principe que les connexions TCP initialisées depuis le réseau interne sont faites à partir d'un port source TCP supérieur à 1023.


D'où l'access-list suivante qu'on va positionner sur l'interface e1 :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
int e1
ip access-group 101 in
!
access-list 101 permit tcp any any gt 1023 established

Je te laisse gérer les aspects UDP s'il y en a (DNS notamment, peut-être que des machines de ta DMZ en ont besoin).


Steph

Bonjour, merci pour votre aide. J'ai étudie un peu established, sur comment ça marche etc ... De ce que j'ai compris, il permet d'autoriser le retour d'un requête cependant le paquet est bloqué lors du chemin retour sur le routeur. J'ai cru voir que quand on faisait une règle en in sur une interface, le out était en deny all.

J'avais pensé a faire la même en out sur e1 cependant rien ne semble passer.

Ma méthode est-elle bonne ? merci

[Invité]

J'ai cru voir que quand on faisait une règle en in sur une interface, le out était en deny all.

Pas exactement... Un principe de base des ACL, c'est que quand on définit des règles pour permettre certains types de trafic, il y a en fin d'ACL un 'deny all' implicite.

Difficile de t'aider sans avoir un minimum de configuration... Tu peux copier/coller la configuration de tes interfaces ainsi que toutes les access-lists associées, et on devrait pouvoir avancer.

Steph