Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Hardware Discussion :

ACL IN ou OUT


Sujet :

Hardware

  1. #1
    Nouveau Candidat au Club
    ACL IN ou OUT
    Bonjour actuellement sur un projet de Réseaux sur cisco packet tracer, je rencontre un problème plutôt simple à résoudre mais je n'y arrive pas seul malgré mes nombreuses recherches.

    Voici un screen de mon projet actuelle :



    ACL sur les routeurs

    Le Vlan admin doit avoir accès à tout
    Le Vlan direction doit avoir accès au vlan serveur en HTTP, HTTPS et FTP; et à internet en DNS, HTTP et HTTPS
    le Vlan user doit avoir accès au vlan serveur en HTTPS uniquement, et à internet en DNS, HTTP et HTTPS
    Le Vlan serveur doit avoir accès à internet uniquement en DNS, HTTP et HTTPS
    SRVWEB doit pouvoir accéder à SRVFILES en FTP et à internet en DNS, HTTP et HTTPS

    Je suis donc sur l'étape des ACL j'ai bien compris que sa permettait une meilleur sécurité du réseau. Après avoir appliqué mes ACL sur mes routeurs R1, R2, R3 et envoyé ma demande de validation j'ai été refusé car j'avais oublier d'appliquer les ACL sur les interfaces. Et c'est ici que j'ai rencontré mon problème, le "IN" et "OUT" malgré les nombreuse recherche que j'ai pu faire je ne comprend toujours pas quand appliqué le IN ou le OUT.

    Pour ma par j'en suis toujours arrivé à la même conclusion si le IN c'est du pc -> router et le OUT c'est du router au réseau alors je dois mettre mes ACL en OUT... Ce qui ne me semble pas correcte.

    J'aimerai vraiment qu'on m'explique.

    Pourriez-vous m'expliquer par rapport au screen shot ainsi que ce qui m'était demandé par rapport au ACL ?

    Merci,

  2. #2
    Nouveau Candidat au Club
    Up ?

  3. #3
    Invité
    Invité(e)
    Sur R1, la Gi0/0.2, c'est .61 non ?
    Sur R2, il n'y a pas deux sous-interfaces comme sur R1, c'est voulu ?

    Je te rassure, ton problème n'est pas aussi simple qu'il parait
    Et il y a plusieurs façons de déployer ce genre d'ACL.

    Perso, voilà comment je ferais pour le cas VLAN Direction / VLAN User en supposant que les gateways sont portées par la même interface physique Gi0/0. Je reprends tes hypothèses :

    DIR -> SERVEUR HTTP/HTTPS/FTP
    -> @ DNS/HTTP/HTTPS
    USER -> SERVEUR HTTPS
    -> @ DNS/HTTP/HTTPS

    Sur Gi0/0, je configure un access-group in qui appelle les access-lists suivantes :
    - autoriser le traffic depuis any vers any sur les ports DNS/HTTP/HTTPS
    - autoriser le traffic depuis 192.168.0.64/27 vers any sur les ports ftp et ftp-data
    - deny any any en fin d'access-list

    Sur Gi0/0.2 de R1, je configure un access-group out qui appelle les access-lists suivantes :
    - deny 192.168.0.96/27 vers any sur les ports ftp, et ftp-data (parce que VLAN USER ne doit pas faire de FTP),
    - deny 192.168.0.96/27 vers any sur le port http (parce que VLAN USER ne peut faire que du https),
    - deny 192.168.0.64/27 et 192.168.0.96/27 vers any sur le port dns (parce que ADMIN et USER ne doivent pas faire de DNS ici).
    - permit any any en fin d'access-list

    Reste maintenant à configurer l'ASA tout là-haut
    En lui disant d'autoriser les subnets 192.168.0.64/27 et 192.168.0.96/27 à envoyer du traffic DNS/HTTP/HTTPS

    Donc en définitive, avec tes hypothèses de départ, j'ai configuré :
    - un access-group in sur R2,
    - un access-group out sur R1,
    - une access-list sur l'ASA.

    Encore une fois, il y a plusieurs façons de faire les choses...
    On pourrait aussi introduire le pool d'adresses RFC1918 10/8, 172.16/12, 192.168/16 pour expliciter tout ce qui doit aller vers Internet mais ça conduit à une usine à gaz.

    Le next step maintenant...
    Tu fais la même chose avec les autres hypothèses sur les autres VLANs...
    Puis tu fusionnes tes access-lists... Parce que tu ne peux configurer qu'un access-group in ou out par interface. Du moins si ça n'a pas changé

    -VX