Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Discussion: ACL IN ou OUT

  1. #1
    Nouveau Candidat au Club
    Homme Profil pro
    Administrateur systèmes et réseaux
    Inscrit en
    juillet 2018
    Messages
    2
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 26
    Localisation : France, Essonne (Île de France)

    Informations professionnelles :
    Activité : Administrateur systèmes et réseaux

    Informations forums :
    Inscription : juillet 2018
    Messages : 2
    Points : 1
    Points
    1

    Par défaut ACL IN ou OUT

    Bonjour actuellement sur un projet de Réseaux sur cisco packet tracer, je rencontre un problème plutôt simple à résoudre mais je n'y arrive pas seul malgré mes nombreuses recherches.

    Voici un screen de mon projet actuelle :

    Nom : asa.PNG
Affichages : 83
Taille : 73,2 Ko

    ACL sur les routeurs

    Le Vlan admin doit avoir accès à tout
    Le Vlan direction doit avoir accès au vlan serveur en HTTP, HTTPS et FTP; et à internet en DNS, HTTP et HTTPS
    le Vlan user doit avoir accès au vlan serveur en HTTPS uniquement, et à internet en DNS, HTTP et HTTPS
    Le Vlan serveur doit avoir accès à internet uniquement en DNS, HTTP et HTTPS
    SRVWEB doit pouvoir accéder à SRVFILES en FTP et à internet en DNS, HTTP et HTTPS

    Je suis donc sur l'étape des ACL j'ai bien compris que sa permettait une meilleur sécurité du réseau. Après avoir appliqué mes ACL sur mes routeurs R1, R2, R3 et envoyé ma demande de validation j'ai été refusé car j'avais oublier d'appliquer les ACL sur les interfaces. Et c'est ici que j'ai rencontré mon problème, le "IN" et "OUT" malgré les nombreuse recherche que j'ai pu faire je ne comprend toujours pas quand appliqué le IN ou le OUT.

    Pour ma par j'en suis toujours arrivé à la même conclusion si le IN c'est du pc -> router et le OUT c'est du router au réseau alors je dois mettre mes ACL en OUT... Ce qui ne me semble pas correcte.

    J'aimerai vraiment qu'on m'explique.

    Pourriez-vous m'expliquer par rapport au screen shot ainsi que ce qui m'était demandé par rapport au ACL ?

    Merci,

  2. #2
    Nouveau Candidat au Club
    Homme Profil pro
    Administrateur systèmes et réseaux
    Inscrit en
    juillet 2018
    Messages
    2
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 26
    Localisation : France, Essonne (Île de France)

    Informations professionnelles :
    Activité : Administrateur systèmes et réseaux

    Informations forums :
    Inscription : juillet 2018
    Messages : 2
    Points : 1
    Points
    1

    Par défaut

    Up ?

  3. #3
    Membre éclairé

    Homme Profil pro
    Architecte réseau
    Inscrit en
    avril 2018
    Messages
    389
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Essonne (Île de France)

    Informations professionnelles :
    Activité : Architecte réseau
    Secteur : High Tech - Opérateur de télécommunications

    Informations forums :
    Inscription : avril 2018
    Messages : 389
    Points : 877
    Points
    877
    Billets dans le blog
    1

    Par défaut

    Sur R1, la Gi0/0.2, c'est .61 non ?
    Sur R2, il n'y a pas deux sous-interfaces comme sur R1, c'est voulu ?

    Je te rassure, ton problème n'est pas aussi simple qu'il parait
    Et il y a plusieurs façons de déployer ce genre d'ACL.

    Perso, voilà comment je ferais pour le cas VLAN Direction / VLAN User en supposant que les gateways sont portées par la même interface physique Gi0/0. Je reprends tes hypothèses :

    DIR -> SERVEUR HTTP/HTTPS/FTP
    -> @ DNS/HTTP/HTTPS
    USER -> SERVEUR HTTPS
    -> @ DNS/HTTP/HTTPS

    Sur Gi0/0, je configure un access-group in qui appelle les access-lists suivantes :
    - autoriser le traffic depuis any vers any sur les ports DNS/HTTP/HTTPS
    - autoriser le traffic depuis 192.168.0.64/27 vers any sur les ports ftp et ftp-data
    - deny any any en fin d'access-list

    Sur Gi0/0.2 de R1, je configure un access-group out qui appelle les access-lists suivantes :
    - deny 192.168.0.96/27 vers any sur les ports ftp, et ftp-data (parce que VLAN USER ne doit pas faire de FTP),
    - deny 192.168.0.96/27 vers any sur le port http (parce que VLAN USER ne peut faire que du https),
    - deny 192.168.0.64/27 et 192.168.0.96/27 vers any sur le port dns (parce que ADMIN et USER ne doivent pas faire de DNS ici).
    - permit any any en fin d'access-list

    Reste maintenant à configurer l'ASA tout là-haut
    En lui disant d'autoriser les subnets 192.168.0.64/27 et 192.168.0.96/27 à envoyer du traffic DNS/HTTP/HTTPS

    Donc en définitive, avec tes hypothèses de départ, j'ai configuré :
    - un access-group in sur R2,
    - un access-group out sur R1,
    - une access-list sur l'ASA.

    Encore une fois, il y a plusieurs façons de faire les choses...
    On pourrait aussi introduire le pool d'adresses RFC1918 10/8, 172.16/12, 192.168/16 pour expliciter tout ce qui doit aller vers Internet mais ça conduit à une usine à gaz.

    Le next step maintenant...
    Tu fais la même chose avec les autres hypothèses sur les autres VLANs...
    Puis tu fusionnes tes access-lists... Parce que tu ne peux configurer qu'un access-group in ou out par interface. Du moins si ça n'a pas changé

    -VX

Discussions similaires

  1. ACL en IN ou en OUT
    Par selmagsi dans le forum Hardware
    Réponses: 7
    Dernier message: 19/01/2015, 23h07
  2. Réponses: 4
    Dernier message: 04/07/2013, 09h52
  3. Interception des commandes in et out
    Par KDD dans le forum x86 16-bits
    Réponses: 13
    Dernier message: 18/12/2002, 16h55
  4. Effet Fade In / Fade Out sur une surface DirectDraw
    Par Magus (Dave) dans le forum DirectX
    Réponses: 3
    Dernier message: 08/09/2002, 17h37
  5. Comment utiliser OUT ?
    Par Bouziane Abderraouf dans le forum CORBA
    Réponses: 3
    Dernier message: 20/07/2002, 09h35

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo