Universit Tunis El Manar

A.U. : 2012/2013

ISI

TD : Filtrage
Exercice1 :
Une entreprise dispose dun pare-feu pour limiter laccs depuis et vers les machines de son rseau interne. Larchitecture du
rseau de lentreprise comprend galement une zone dmilitarise (DMZ) pour le dploiement des serveurs Web et DNS
propres lentreprise. La politique de scurit applique par le pare-feu est dcrite par le tableau 1.

N
1
2
3
4
5
6
7
8
9

Interface
entre
Eth0
Eth1
Eth0
Eth1
Wan0
Eth1
Eth0
Wan0
*

Interface
sortie
Eth1
Eth0
Eth1
Eth0
Eth1
Wan0
Wan0
Eth0
*

Adr IP
source
172.16.0.0
172.17.0.1
172.16.0.0
172.17.0. 2
*
172.17.0.1
172.16.0.0
*
*

tableau 1
Adr IP
destination
172.17.0.1
172.16.0.0
172.17.0.2
172.16.0.0
172.17.0.1
*
*
172.16.0.0
*

Protocole
TCP
TCP
UDP
UDP
TCP
TCP
TCP
TCP
*

Port
source
> 1024
80
> 1024
53
> 1024
80
> 1024
80
*

Port
dest
80
> 1024
53
> 1024
80
> 1024
80
> 1024
*

Action
Accepter
Accepter
Accepter
Accepter
Accepter
Accepter
Accepter
Accepter
Refuser

1) Donner la politique correspondante chaque paire de rgles (1-2), (3-4), (5-6) et (7-8)
2) Prciser la rgle qui vrifiera chacun des paquets suivants et dites si le paquet sera accept ou refus
p1p2p3p4p5-

IP sce : 172.16.0.30
IP sce : 172.16.10.5
IP sce : 140.10.2.1
IP sce : 17.14.3.3
IP sce : 172.17.0.1

IP Dest : 12.230.24.45
IP Dest : 172.17.0.2
IP Dest : 172.17.0.1
IP Dest : 172.17.0.2
IP Dest : 1.2.3.4

Prot : TCP
Prot : UDP
Prot : TCP
Prot : UDP
Prot : TCP

Port sce :1045

Port sce :6810
Port sce :8000
Port sce :6000
Port sce :80

Port dest : 443

Port dest : 53
Port dest : 80
Port dest : 53
Port dest : 9999

3) Traduire les rgles 6 et 7 en utilisant les ACL Cisco

Exercice 2:
Soit le rseau suivant :

Internet

1) Sur le rseau interne 192.168.34.0/24. La machine 192.168.34.2 ne doit pas tre accessible de l'extrieur.
a. Quelle ACL doit-on choisir :
A. accesslist101denytcpanyhost192.168.34.2
B. accesslist101denyipany192.168.34.00.0.0.255
C. accesslist101denyipany192.168.34.2255.255.255.255
D. accesslist101denyipanyhost192.168.34.2
1

b. A quelle interface doit-on la dfinir ? Expliquer ?

A. Surl'interfaceS0/0in
B. SurlinterfaceFa0/0in
C. Surl'interfaceS0/0out
D. SurlinterfaceFa0/0out
2) Nous voulons restreindre tout accs SMTP (port 25) la machine 192.168.34.200.
a. Quelle ligne d'ACL doit-on choisir
A. accesslist101permittcpanyhost192.168.34.200eq25
B. accesslist101denytcpany192.168.34.00.0.0.255eq25
C. accesslist101permittcphost192.168.34.200anyeq25
D. accesslist101denytcpany192.168.34.2000.0.0.255eq25
b. quelle interface doit-on la dfinir ?
c. EcrirelescommandesncessairespourpositionnercetteACLlinterfacequevousavezchoisie.
3) Supposons que la liste de contrle d'accs suivante soit correctement applique une interface de routeur,
Router(config)# access-list 165 deny tcp 192.168.34.0 0.0.0.255 172.23.0.0 0.0.255.255 eq telnet
Router(config)# access-list 165 permit ip any any
a. Que peut-on conclure de cet ensemble de commandes ?
b. Expliquer le choix des masques gnriques?

Exercice 3 :
Partie A :
Soit le rseau dcrit par la figure 2. La machine dadresse 192.168.1.5 doit accder seulement aux services http et
ftp, les autres machines peuvent accder tous les services.

Figure 2 : architecture du rseau

N.B :
- neq = not equal diffrent de.
Exemple: neq 23 appliquer la rgle (permit ou deny) si le port est diffrent du port 23, si le port est gale 23 la
rgle ne sapplique pas.
Router(config)#access-list 105 deny tcp host 192.168.10.5 any neq 80
Router(config)#access-list 105 deny tcp host 192.168.10.5 any neq 21
Router(config)#access-list 105 permit ip any any
Router(config)#interface ethernet 1
Router(config-if)#access-group 105 in

1) Quel est leffet de cette ACL ?

2) Proposez une ACL correcte
Partie B :
1) Est-ce que ladresse 192.168.1.200 sera filtre par la rgle : access-list 1 deny 192.168.1.0 0.0.0.255 ?

2) Est-ce que ladresse 192.168.4.200 sera filtre par la rgle : access-list 1 deny 192.168.1.0 0.0.255.255?
3) Est-ce que ladresse 192.168.4.200 sera filtre par la rgle : access-list 1 deny 192.168.1.0 0.0.0.255 ?
4) Quel adresse/masque doit-on utiliser pour filtrer, en une seule ligne, les rseaux :
10.1.2.0

10.5.2.0

10.128.3.0

10.5.4.0

5)Quelleestlacommandepermettantdelaisserpasserseulementletraficdesmachinesimpairesdu
rseau192.168.20.0?

Exercice 4:
Soit larchitecture du rseau indiqu dans la figure 1 o LAN1 est le rseau des serveurs accessibles de lextrieur et de
lintrieur de lentreprise

1) Dans quels routeurs doit-on implmenter des rgles de filtrage dans chacun des cas suivants (rpondre par oui ou
non):
Routeur1

Routeur2

Routeur3

Permettre aux utilisateurs internes et externes daccder aux serveurs

HTTP, FTP et SMTP du LAN1.
Permettre la machine administrateur daccder aux diffrents LAN.
Permettre aux utilisateurx du LAN1 daccder Internet
2) Complter le tableau suivant permettant aux utilisateurs externes daccder au serveur http du LAN1 et permettant
aux utilisateurs du LAN1 daccder aux serveurs web externes.
@IP source

@IP dest

Port source

Port destination

Protocole

ACK=1

Action

3) Traduire les rgles de filtrage suivantes implment au niveau du routeur 1 en utilisant des ACL Cisco.

N de la
rgle

@IP source

@IP dest

port
source

Port
protocole Action
destination

1
2
3
4

toutes
193.95.33.6
toutes
193.95.33.7

193.95.33.6
toutes
193.95.33.7
toutes

>1023
23
>1023
25

23
>1023
25
>1023

TCP
TCP
TCP
TCP

Accepter
Accepter
Accepter
Accepter

Exercice 1 :
1)

2)

3)

rgles
(1,2)

politique
Permettre aux utilisateurs du RL daccder au serveur HTTP local

(3,4)

Permettre aux utilisateurs du RL daccder au serveur DNS local

(5,6)

Permettre aux utilisateurs externes daccder au serveur HTTP local

(7,8)

Permettre aux utilisateurs du RL daccder aux serveurs HTTP sur Internet

N de la rgle appliquer (daprs le tableau 1 )

paquet
P1
9
P2
3
P3
5
P4
9
P5
6
rgles
ACLs Cisco
6
R-config# access-list 111 permit tcp host 172.17.0.1 any gt 1024
7

Action (accepter ou refuser)

refus
accept
accept
refus
accept

R-config# access-list 112 permit tcp 172.16.0.0 0.0.255.255 any eq 80

Exercice 2:
1)

a. LACL choisie est D b. Elle doit tre dfinie sur linterface A parce quune ACL tendue doit tre place prs de la source.

2)

a. LACL choisie est D b. Elle doit tre dfinie sur linterface S0/0.
c. commandes : R-config# int S0/0
R-config-if# ip access-group 101 in

3)

a) restreindre uniquement laccs telnet partir du rseau 192.168.34.0

b) 192.168.34.0

vers le rseau 17223.0.0

0.0.0.255 : toutes les machines source du rseau 192.168.34.0 de classe C

172.23.0.0 0.0.255.255 : toutes les machines source du rseau 172.23.0.0 de classe B

Exercice 3:
Partie A :
1) La premire ligne permet de refuser tous sauf 80 (21 sera refus). La deuxime ligne permet de refuser tous sauf 21 (80 sera refus)
tout trafic sera refus avant darriver la ligne 3.
2) ACL correcte : remplacer deny par permit et permit par deny et neq par eq
Partie B :
1) Oui
2) Oui
3) Non
4) ----5) Router(config)#access-list 15 permit 192.168.20.1 0.0.0.254

Exercice 4:
1)

Permettre aux utilisateurs internes et externes daccder aux serveurs HTTP,

FTP et SMTP du LAN1.
Permettre la machine administrateur daccder aux diffrents LAN.
Permettre aux utilisateurs du LAN1 daccder Internet

Routeur1
x

Routeur2
x

Routeur3
x

2)
@IP source
*

@IP dest
193.95.33.5

Port source
>1023

Port destination
80

Protocole
TCP

ACK=1
*

Action
accepter

193.95.33.5

80

>1023

TCP

oui

accepter

193.95.33.0

>1023

80

TCP

accepter

193.95.33.0

80

>1023

TCP

oui

accepter

3)
Router(config)#access-list 115 permit tcp any host 193.95.33.6 eq 23
Router(config)#access-list 115 permit tcp any host 193.95.33.7 eq 25
Router(config)#access-list 116 permit tcp host 193.95.33.6 any gt 1023
Router(config)#access-list 116 permit tcp host 193.95.33.7 any gt 1023
4