Scribd Logo
Importer

Bienvenue sur Scribd !

  • Acl Cisco

    Transféré par

    Olivier Smith
    55 vues37 pages

    Titre original

    acl-cisco

    Copyright

    © Attribution Non-Commercial (BY-NC)

    Formats disponibles

    PDF, TXT ou lisez en ligne sur Scribd

    Avez-vous trouvé ce document utile ?

    Ce contenu est-il inapproprié ?

    Signaler ce document

    Droits d'auteur :

    Attribution Non-Commercial (BY-NC)
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    55 vues37 pages

    Acl Cisco

    Transféré par

    Olivier Smith

    Droits d'auteur :

    Attribution Non-Commercial (BY-NC)
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    sur 37

    Configurationetlistesdaccs

    pourunrouteur
    CISCO
    commandesetexemples

    V2.15
    Modif:06/03/2001

    Rdacteurs:PhilippeLecaCNRS/UREC,PhilippeWeillCNRS/IPSL,OlivierPorteCNRS/DSI

    Merciauxrelecteurs:JolMarchand

    Avertissement:
    Cedocumentnestpasuncoursniunensemblederecommandationsmaisjusteunmmotechniquesurquelques
    commandesetdesexemplesdeconfigurationspourlesrouteursdetypeCISCO.
    Cenestquundeschanonspourlamiseenplacedunepolitiquedescuritsurunrseau.
    Cesconfigurationsnedoiventenaucuncastreutilisestelqueletdoiventimprativementtreadapteset
    validessurvotresite.Malgrtousnosefforts,Lesconfigurationsdcritesicinesontpasexemptesderreursou
    domissions.
    Ladiffusionetlareproductiondecedocumentnepeutsefairequeaveclaccorddundesrdacteursoude
    lUrec(UnitRseauduCNRS).

    COMMANDESDECONFIGURATION

    ..............................................................................................................

    3
    CONNEXIONSURLEROUTEUR

    .......................................................................................................................................

    3
    IDENTIFICATION

    ..........................................................................................................................................................

    3
    VISUALISATIONETMODIFICATIONDELACONFIGURATION:..................................................................................................
    3

    SAUVEGARDEDELACONFIGURATIONDUROUTEURSURUNSERVEUR
    .....................................................................................

    3
    CHARGEMENTDELACONFIGURATIONPARTIRDUNSERVEURTFTP

    ..................................................................................

    4
    COMMANDESDETESTSETDEVISUALISATIONDELTATDUROUTEUR

    ...................................................................................

    4
    TYPESDECOMMANDESDECONFIGURATION

    .....................................................................................................................

    5
    COMMANDESDEROUTAGE

    ............................................................................................................................................

    5
    EXEMPLEDECONFIGURATION

    ........................................................................................................................................

    7
    EXEMPLEDECONFIGURATIONROUTEUR1PORTETHERNET/1PORTSRIE
    ........................................................................


    10
    ACCESSLIST:FILTRAGE

    ................................................................................................................................

    11
    COMMANDESGLOBALES

    .............................................................................................................................................

    12
    Leslistesdaccssimples(oustandard).

    .........................................................................................................

    12
    Leslistesdaccstendues.

    .............................................................................................................................

    12
    MASQUE

    .................................................................................................................................................................

    13
    COMMANDESPARINTERFACES

    .....................................................................................................................................

    13
    VISUALISATION

    .........................................................................................................................................................

    13
    MODIFICATIONET/OUSUPPRESSION

    ..............................................................................................................................

    13
    FILTRAGE

    ................................................................................................................................................................

    13
    EXEMPLEDECONFIGURATIONSAVECACCESSLIST:FILTRESPEUSERRS

    ........................................................................

    15
    EXEMPLEDECONFIGURATIONSAVECACCESSLIST:FILTRESTRSSERRS

    .......................................................................

    21
    EXEMPLEDECONFIGURATIONSAVECACCESSLIST:FILTRESTRSTRSSERRS

    ...............................................................

    25
    REMARQUES
    ...........................................................................................................................................................


    29
    DAUTRESFILTRES
    ...................................................................................................................................................


    31
    Limitationdelaccsmonrouteuravectelnet
    :...........................................................................................


    31
    Filtresensortie..............................................................................................................................................
    31

    FiltressurICMP

    ..............................................................................................................................................

    32
    SURVEILLANCEETADMINISTRATION

    ......................................................................................................

    35
    SNMPETMRTG

    ..................................................................................................................................................

    35
    ANALYSEDESLOGS

    ...................................................................................................................................................

    36
    RFRENCES

    ......................................................................................................................................................

    37

    Commandesdeconfiguration
    Connexionsurlerouteur
    Lapremirefoisviauneconsoleconnectesurleportconsole.Audmarrage,onrentredanslesetup
    permettantderentrerlesparamtresdebasesetlesadressesIPdesdiffrentesinterfacessilammoire
    nonvolatileestvide.
    Lesfoissuivantes,onseconnecteaurouteurenutilisanttelnet@ipinterfaces.

    Identification
    2modesdidentification.
    Modeutilisateur(user):lemotdepasseestdemandlorsdelaconnexionviatelnetoulaconsole
    Modeadministrateur(privilegedouenable
    >enable
    >motdepasse

    Visualisationetmodificationdelaconfiguration:
    >confterm
    >CTR+Z

    pourentrerdanslditeurdeconfigurationetlamodifier.
    poursortirdelditeur.

    >writeterminal

    pourvisualiserlaconfigurationenmmoirenonvolatile

    >writememory

    poursauvegarderlanouvelleconfigurationenmmoirenonvolatile

    >writeerase

    effacerlaconfiguration

    >exit

    findelasession

    >?

    listedescommandesdisponibles.Attentionelleestdiffrentesuivantlemode
    didentification.

    >reload

    rinitialisationdurouteur(reboot)

    >showrunningconfigpourvisualiserlaconfigurationencours
    Touteslescommandespeuventtrerentressousformecomplteousousformeabrge:
    Writememory

    wrmem
    Inteth1

    interfaceethernet1

    Sauvegardedelaconfigurationdurouteursurunserveur.
    OnpeutsauvegarderlaconfigurationdurouteursurunserveurdurseauviaTFTP.
    IlfautdabordmettreenplaceunserveurTFTPcorrectement.Onsupposeque/tftpbootestle
    rpertoiredechargementduserveurtftp.
    CreruneenveloppevidesurleserveurTFTP:cp/dev/null/tftpboot/nom_cisco.conf
    Passerenmode"enable"surleCisco
    >writenet
    Remotehost[x.y.z.u]?
    3

    Nameofconfigurationfiletowrite[nom_cisco.conf]?
    Writefilenom_cisco.confonhostx.y.z.u?[confirm]
    ######
    Writingb11i1confg!![OK]
    >quit
    Laconfigurationestsauvegardedans/tftpboot/nom_cisco.conf
    x.y.z.ucorrespondladresseIPduserveurTFTPdevotrerseau.
    Sicanefonctionnepaspensezavrifierlesdroitsdufichier/tftpboot/nom_cisco.conf.

    ChargementdelaconfigurationpartirdunserveurTFTP
    DemmeonpeutchargerlaconfigurationviaunserveurTFTP.Cettemthodeprsentelavantagede
    pouvoircriretranquillementsaconfigurationviaunditeurdetexteetlachargerquandonveut.
    SurleserveurTFTP,changerprovisoirementlesdroitsdufichierdeconfiguration:
    #chmod444/tftpboot/nom_cisco.conf
    Ilfautensuiteseconnectersurlerouteurenmodeenable.
    >configurenetwork
    Hostornetworkconfigurationfile[host]?
    Addressofremotehost[x.y.z.u]?
    Nameofconfigurationfile[nom_cisco.conf]?
    Configureusingnom_cisco.conffromx.y.z.u?[confirm]
    Loadingnom_cisco.conffromx.y.z.u(viaEthernet1):
    [OK3389/32444bytes]
    >writememory
    >quit
    Restaurerenfinlesdroitsdufichiernom_cisco.conf
    #chmod222/tftpboot/nom_cisco.conf

    Commandesdetestsetdevisualisationdeltatdurouteur
    >showint

    visualiserltatdesinterfaces

    >shiproute

    visualiserlesroutesIP

    >shiparp
    >shipprotocols
    >ping@IP
    >shiptraffic comptelestramesdestinationdurouteur(etnontoutescellesquipassent).
    >showipaccountingaccessviolations

    interrogationdeslogsdesACL

    >clearipaccounting
    >shversion
    >shcontrollers
    >shmem
    >shprocess

    poursurveillerlachargedurouteur
    4

    >shprocmem
    >shflash

    visualisationdelammoireutiliseetdisponible
    visualisationdelammoireflashutiliseetdisponible

    Typesdecommandesdeconfiguration
    Commandesglobales
    Ellessadressentlatotalitdurouteur
    >hostnametoto
    Commandesparinterfaces(souscommandes)
    Ellessadressentunepartiedurouteur.
    >inttypeN danslditeurdeconfiguration,pourspcifierquelleinterfacevatreconfigure.
    >inteth1
    configurationdelinterfaceethernet1
    >ipaddressx.y.z.y255.255.255.0 dclarationdeladresseIPdelinterfaceethernet1
    >intserial1 configurationdelinterfacesrie1

    Commandesderoutage
    Routagestatique:
    >iproutenetworkmaskaddress/interface(distance)
    dfinitionduneroutestatique:
    network:rseauatteindre
    distance:utilequepourmodifierlesprioritsstandards
    (statique1,igrp100,ospf110,rip120,egp140)
    Routagedynamique:RIP
    >routerrip
    >networknetworknumber
    miseenplaceduprotocoleripavecdiffusionetcoutedurseaunetworknumber(ildoittre
    directementconnectaurouteur).
    Routagedynamique:IGRP
    >routerigrp
    >networknetworknumber
    Routagedynamique:EGP
    >routeregpremoteas
    >neighbor@IP
    Routagedynamique:BGP
    >autonomoussystemnumroAS
    >routerbgp65535
    >neighbor@IPvoisinremoteasnumroASvoisin
    >neighbor@IPvoisindescriptionRoutageavecFT
    >neighbor@IPvoisinversion4
    >neighbor@IPvoisinsoftreconfigurationinbound
    >noautosummary
    Blocagedeladiffusionduroutagedynamiquesuruneinterface:
    >passiveinterface<nominterface>
    interdireladiffusiondesannoncesdunprotocolderoutagesuruneinterface.
    5

    Routepardfaut
    >iproute0.0.0.00.0.0.0@sortie
    routepardfaut.Attentiondanslecasderseauavecsubnet.Ilfautrajouterenroutepardfaut,laroute
    verslerseaucomplet(cf.exemple)

    Exempledeconfiguration
    Versextrieur
    RseaudinterconnexionF.G.H.0
    Interfaceeth0
    AdresseF.G.H.254
    Interfaceeth3AdresseU.V.W.254
    Routeur

    HUB

    Interfaceeth1Interfaceeth2
    AdresseX.Y.Z.62
    AdresseX.Y.Z.94RseauU.V.W.0255.255.255.0
    HUB
    HUB

    RseauX.Y.Z.64255.255.255.224
    RseauIPX.Y.Z.32/255.255.255.224
    Lecaractre!indiqueuncommentaire,

    !lescommandesglobales
    noserviceconfig
    !pardfaut,missionderequtesTFTPladressedebroadcastpourvrifierquelaconfigurationna
    !pastmodifie.Lacommandepermetdarrtercesenvois.
    noservicetcpsmallservers
    noserviceudpsmallservers
    !Lerouteurimplmentelesservicesecho(portsTCPetUDPnumro7),discard(portsTCPetUDP
    !numro9),chargen(portsTCPetUDPnumro19).Ces2commandespermettentdelesdvalider.
    noipsourceroute
    !lerouteurnedoitpasrouterdepaquetsIPcomportantl'option"Sourcerouting".L'option"Source
    !routing"permetl'metteurd'unpaquetIPdespcifierlecheminquedoitprendrelepaquetpour
    !accdersadestination,indpendammentdestablesderoutagesdesrouteurstraverss.Le
    !destinatairedevrautiliserlechemininversepourleretour(optiongdetraceroute)
    loggingX.Y.Z.1
    !leserveurdelogestlamachineX.Y.Z.1
    loggingfacilityauth
    !permetd'utiliserlemcanismedesyslogpourjournalisersurunserveurexternelesvnements
    !importantsrecenss(arrts,modificationsdeconfig,tracedetouslespaquetsayantsatisfaitun
    !lmentmarqu"log"dansuneACL)surlerouteur.
    !commandesspcifiquesuneinterface:
    !onmetinterfaceethernet1ouinterfaceeth1
    interfaceethernet1
    ipaddressX.Y.Z.62255.255.255.224
    7

    !dclarationdeladresseIPdelinterface1
    noipredirects
    !rejetsdespaquetsicmpredirect(vitemodificationdelapolitiquederoutage).
    inteth2
    ipaddressX.Y.Z.94255.255.255.224
    !dclarationdeladresseIPdelinterface2
    noipredirects
    inteth3
    ipaddressU.V.W.254255.255.255.0
    noipredirects
    inteth0
    ipaddressF.G.H.254255.255.255.0
    noipredirects
    !
    !pourleroutage2possibilits:
    !Routagestatique:suffisantsiderrirecesrseaux
    !ilnyapasdautresrouteurs,ousilesmodificationsdinfrastructures
    !sontrares
    !ou
    !Routagedynamique
    !
    !Ilfautchoisirlunedesdeuxmthodes.
    !
    !
    !configurationencasderoutagestatique
    !
    !
    iprouteF.G.H.0255.255.255.0eth0
    iprouteU.V.W.0255.255.255.0eth3
    iprouteX.Y.Z.64255.255.255.224X.Y.Z.94
    !auchoixonmetlenomdelinterfaceoul@IP
    iprouteX.Y.Z.32255.255.255.224eth1
    iprouteX.Y.Z.0255.255.255.0eth0
    !arajouterobligatoirement.LerouteurconsidrequilconnattoutelaclasseCX.Y.Z.0causedes
    !routesverseth1eteth2.Ilfautspcifieruneroutepourlerestedessubnet.
    iproute0.0.0.00.0.0.0eth0
    !routepardfaut
    !
    !configurationencasderoutagedynamiqueavecleprotocoleRIP
    !
    routerrip
    !miseenuvreduroutagedynamiqueRIP,puisdclarationdesrseaux
    networkX.Y.Z.0
    networkF.G.H.0
    networkU.V.W.0
    passiveinterfaceethernet1
    passiveinterfaceethernet2
    passiveinterfaceethernet3
    !lacommandepassiveinterfacepermetdenepasredistribuer
    !lesannoncesRIPverslesinterfacesindiques.
    iproute0.0.0.00.0.0.0eth0
    !routepardfaut.AindiqueruniquementsiellenestpaspropageviaRIP
    8

    !
    !findeconfigurationduroutage
    !
    noipclassless
    !permetdutiliserdesmasquesderseauxvariables

    Exempledeconfigurationrouteur1portethernet/1portsrie

    !
    version11.2
    noserviceudpsmallservers
    noservicetcpsmallservers
    !
    hostnameHECTOR
    !
    enablesecret5$1$h38O$2EDwI4.4VhiOA21Ayw9gs.
    enablepasswordcisco
    !
    ipsubnetzero
    ipdomainnamefoo.bar.com
    ipnameserverx.y.z.1
    !
    interfaceEthernet0
    ipaddressx.y.z.4255.255.255.0
    !
    interfaceSerial0
    ipunnumberedEthernet0
    !
    routerrip
    redistributestatic
    networkx.y.z.0
    !
    noipclassless
    iproute
    0.0.0.0
    0.0.0.0
    iproute
    a.b.c.0
    255.255.255.192
    !
    linecon0
    linevty04
    passwordcisco
    login
    !
    end

    x.y.z.1
    Serial0

    10

    AccessList:filtrage
    LesACL(AccessLists)sontdesrglesappliqueschaquepaquetIPtransitanttraverslerouteuravec
    commeparamtres:
    l'adresseIPdel'metteurdupaquet
    l'adresseIPdudestinatairedupaquet
    letypedupaquet:tcp,udp,icmp,ip.
    leportdedestinationdupaquet(siletypeestTCPouUDP)
    Pourunpaquetdonn,l'ACLrenddeuxvaleurs
    deny:lepaquetestrejet
    permit:lepaquetpeuttransiterparlerouteur
    OnassociechaqueinterfacedurouteuruneACL.Onpeutaussiprciserlesensdutrafic,c'estdireinouout,
    pourqueselonl'ACLs'appliqueauxpaquetsentrantdanslinterfacedurouteuroubienauxpaquetssortantde
    linterfacedurouteur.
    Lesversionsantrieureslaversion10nedisposentquede"out".

    IN

    OUT

    (MerciRolandDirlewangeraquijaipiqulesdessins:http://www.dr15.cnrs.fr/Cours/ACLCisco/)
    11

    Lesrglessontparcouruessquentiellementetletestsarrtelorsquelepaquettestvrifieunergle.
    Engnral,onessayedemettrelesrgleslesplusutilisesendbutdeliste.
    Siaucunerglenestvrifie,lersultatestngatif(deny):toutcequinestpasautorisestinterdit.

    Commandesglobales
    Ilexistedeuxtypesdelistesdaccs:
    Leslistesdaccssimples(oustandard).
    >accesslistno_aclpermit|denyip_srcm_src
    avec
    no_acl:lesnumrosd'ACLsontcomprisentre0et99
    ip_src:adresseIPsource
    m_src:masqueassociip_src.InversedumasquedeladresseIP.Ilspermettentdedcrireun
    ensembled'adresses.Attention:cesmasquessonttotalementindpendantsdesmasquesdesous
    rseaux.
    Exemple
    >accesslist27permit134.4.253.260.0.0.0
    >inteth0
    >ipaccessgroup27in
    SeuleladresseIP134.4.253.26estautoriseentrersurlerseauconnecteth0
    Leslistesdaccstendues.
    >accesslistno_acl[permit|deny][tcp|udp|icmp|ip]ip_srcm_srcip_dest
    m_dst[expr][log]
    avec:
    no_acl:lesnumrosd'ACLsontcomprisentre100et199
    Onspcifieletypedepaquet(TCP,UDP,ICMP).LetypeIPestlaruniondestroisautres.
    m_srcetm_dstsontdesmasquesassocisrespectivementip_srcouip_dest.Ilspermettentdedcrire
    unensembled'adresses.Attention:cesmasquessonttotalementindpendantsdesmasquesdesous
    rseauxquipeuventtreassocisip_srcouip_dst.
    Apartirdelaversion11,certainsraccourcisonttintroduitsdanslasyntaxe,notammentlesmotscls
    "host"et"any".
    expr:{lt|gt|eq|ne]numport(pourtcpetudp,riensiipouicmp).Depuislaversion11onpeutindiquer
    lenumrodeportoulenomduservice(smtpou25parexemple):
    Operand
    Alias Parameters
    Result
    <
    lt
    port#
    trueifportislessthangivenvalue
    >
    gt
    port#
    trueifportisgreaterthangivenvalue
    =
    eq
    port#
    trueifportisequaltothangivenvalue
    !=
    ne
    port#
    trueifportisnotequaltothangivenvalue
    <=
    le
    port#
    trueifportislessthanorequaltogivenvalue
    =>
    ge
    port#
    trueifportisgreaterthanorequaltogivenvalue
    log:depuislaversion11,permetdenvoyerausyslogunsignalencasdedeny.
    12

    Apartirdelaversion11,deuxraccourcisdenotationsonttintroduits:
    hostadresse_ip
    pourdsigneruneadresseIP.Parexemple,
    "host194.15.100.1"et"194.15.100.10.0.0.0"dsignentlammeadresseIP,"194.15.100.1".
    any

    pourdsignern'importequelleadresseIP.Cettenotationestquivalente
    "0.0.0.0255.255.255.255".

    Masque
    Sibitanalyser:bit0danslemasque
    Sibitignorer:bit1danslemasque
    PourvrifiersiuneadresseIPappartientunefamille:
    prendrel'adresseIP
    appliquerlemasque,c'estdiremettre0dansl'adresseIPtouslesbitsquisont1danslemasque.
    comparerlersultatobtenul'adressegnriquedelafamille.
    Exemplesd'adressesgnriquesetdemasques:
    194.15.100.00.0.0.255
    194.15.100.10.0.0.0
    0.0.0.0255.255.255.255
    194.15.100.00.0.0.63
    194.15.100.1920.0.0.63
    134.4.0.2540.0.255.0

    TouteslesadressesIPdurseau194.15.100.0
    L'adresseIP194.15.100.1
    TouteadresseIP.
    TouteslesadressesIPcomprisesentre194.15.100.0et
    194.15.100.63
    TouteslesadressesIPcomprisesentre192.9.200.192et
    194.15.100.255
    TouteslesadressesIPdelaforme134.4.x.254.

    Commandesparinterfaces
    >interfacetypen
    >ipaccessgroupno_acl{in|out}
    Onappliquelaccesslistno_aclenentreouensortiedelinterfacetypen

    Visualisation
    >shaccesslists
    >shaccesslistsnumacl

    Modificationet/ousuppression
    Poursupprimeruneliste:
    >noaccesslistnoacl
    Pourmodifieruneliste,ilfautdabordlasupprimerpuislarcrire.Dolintrtdesauvegarderet
    chargerlaconfigurationviaunserveurtftppourmodifierlefichiertexte.

    Filtrage
    Touslescascidessoussontbiensradapterenfonctiondesarchitecturesrseauxetdesparticularitsdusite.
    13

    Cesontdescasavecunearchitecturerseautrssimple.Lamiseenplacedefiltresenreldemandeune
    bonneconnaissancedesonrseauetdesesservicesetuneconcertationaveclesutilisateurs.
    Achaquefoisonappliquelesfiltressurdeuxtypesdinterface:
    surlinterfaceducampus(ACL101danslesexemples):engnralonymetdesfiltrespastrop
    contraignantspourlaisserensuitechaqueentitsapolitiquedefiltrages.Ilfautaumoinsfiltrerenentre:

    lesadressessourcesavecuneadressedesonrseau(antispoofing),
    lesadressesprives,
    ICMPsurdesadressesderseauxoudebroadcast,
    lesportsUDPreconnuscommedangereux

    surlinterfacedulaboratoire(ACL102danslesexemples):enfonctiondespolitiquesretenueslefiltrage
    seratrsdiffrent(cfexemples).Maisinutilederefiltrericidespaquetsdjfiltrssurlentreducampus.
    Cestsurcetteinterfacequonappliqueraunepolitiquedustyle:

    Ou:

    jautorisespcifiquementlaccsmesservices
    jebloquelerestedesservicesdemonrseaux.
    Jautorisecertainsservicessurmesserveursrseaux(www,ftp,messagerie,)
    Jebloquelaccssurmesserveurspourlesautresservices
    Jautoriselerestesurmonrseau

    Avecventuellementlagestiondexceptions:

    Jebloquelaccsdepuisunrseaudangereux

    Jautoriselaccscompletdepuisunrseauamis

    Etcetc
    Danslecasdunearchitecturesimpleoulorsquelapolitiquedescuritestcommunetouslecampusou
    laboratoire,onpeutrunirlesdeuxfiltresdansunseul.
    Lamiseenplacedefiltressurlespaquetsentrantdemonrseaunestpastransparentepourlesutilisateurs.Cela
    vaavoirdesincidencessurlesservicesquiserontaccessiblesdelintrieurverslextrieur(cfleparagraphe
    Remarquesaprslesexemples).

    14

    Exempledeconfigurationsavecaccesslist:filtrespeuserrs
    Politique:"toutcequin'estpasexplicitementinterditestautoris"
    oninterditd'abordexplicitement
    puistoutleresteonlaissepasser

    RouteurFT
    RseaudinterconnexionF.G.H.0
    Interfaceeth0:

    Routeurdusite

    onappliquelacl101surlespaquetsentrants
    AdresseInterfaceeth0:F.G.H.254

    Interfaceeth1:

    onappliquelacl102surlespaquetssortants
    AdresseIPinterfaceeth1:X.Y.Z.254

    RseauX.Y.Z.0

    Station1

    Station2

    Station3

    X.Y.Z.1X.Y.Z.x
    Messagerie,pop,
    www,ntp
    Dns
    telnet,ftp
    !accesslistdecontrledecequirentresurlerseaudtablissement(acl101)
    !marchesurlesversionsCISCOpostrieures11.xx(causedehostetdenyetlog)
    !CetteACLestappliqueenentreducampus.
    !Politique:
    !
    lesadressessourcesavecuneadressedesonrseau(mascaraded'adresseIP),
    !
    lesadressesprives,
    !
    ICMPsurdesadressesderseauxoudebroadcast,
    !
    lesportsUDPreconnuscommedangereux
    Jautorisedesutilisateursexternessuivantleurscatgories:
    !
    ENNEMISRienn'estautoris
    !
    !dclarationdelacl101
    !
    !
    !Jevidelesaccesslistcourantes
    !
    noaccesslist101
    !
    !Interdirele<<sourcerouting>>
    !
    noipsourceroute
    !
    15

    !Eviterlamascaraded'adresseIP:monadressederseaunedoitpasentrer.
    !
    accesslist101denyipX.Y.Z.00.0.0.255any
    !
    !InterdictiondeICMP(ping)surl'adressebroadcastetladressederseau
    !attentionsilerseauestsubnett,pensezauxadressesdesousrseauxetauxadresses
    !debroadcastdessousrseaux.
    !oumettrenoipdirectedbroadcastsurchaqueinterface
    accesslist101denyicmpanyhostX.Y.Z.255log
    accesslist101denyicmpanyhostX.Y.Z.0log
    !
    !J'autoriseICMPsurtoutesmesmachines
    accesslist101permiticmpanyX.Y.Z.00.0.0.255
    !
    !Sionfaitdumulticastdecommenterlepermit
    !sinondecommenterledeny
    !
    !accesslist101denyip224.0.0.015.255.255.255anylog
    !accesslist101permitip224.0.0.015.255.255.255anylog
    !
    !
    !VirezlesENNEMIStoutdesuiteetpourtout(Sivousenavez:))
    !InterdictiondureseauT.U.V.0/24
    accesslist101denyipT.U.V.00.0.0.255anylog
    !
    !Eviterdesattaquesdouteuses.
    !
    !FromCIAC
    !nepaslaisserentrerlesrseauxsuivants
    !0.0.0.0/8HistoricalBroadcast
    !10.0.0.0/8RFC1918PrivateNetwork
    !127.0.0.0/8Loopback
    !169.254.0.0/16LinkLocalNetworks
    !172.16.0.0/12RFC1918PrivateNetwork
    !192.0.2.0/24TESTNET
    !192.168.0.0/16RFC1918PrivateNetwork
    !240.0.0.0/5ClassEReserved
    !248.0.0.0/5Unallocated
    !255.255.255.255/32Broadcast
    !224.0.0.0/4ClassDMulticast
    !(SAUFsionfaitduMulticastAttentionRipV2)
    !
    accesslist101denyip0.0.0.0
    0.255.255.255
    anylog
    accesslist101denyip127.0.0.00.
    255.255.255
    anylog
    accesslist101denyip10.0.0.0
    0.255.255.255
    anylog
    accesslist101denyip169.254.0.0
    0.0.255.255
    anylog
    accesslist101denyip172.16.0.0
    0.15.255.255
    anylog
    accesslist101denyip192.0.2.0
    0.0.0.255
    anylog
    accesslist101denyip192.168.0.0
    0.0.255.255
    anylog
    accesslist101denyip240.0.0.0
    7.255.255.255anylog
    accesslist101denyip248.0.0.0
    7.255.255.255anylog
    accesslist101denyip255.255.255.255
    0.0.0.0
    anylog
    !
    !jefiltretouslesportsconnuscommedangereux(enfinconnusuninstantt)
    !
    !filtrescertainsportsUDPsuprieursa1023etdangereux:
    !IRC(66656670,7000),
    !Backorifice(31337),Netbus(12345,12346)
    16

    !Mstream(6723,1275415104,TCP),Mstreamzombies(68387983932510498,UDP))
    accesslist101denyudpanyanyeq6665log
    accesslist101denyudpanyanyeq6666log
    accesslist101denyudpanyanyeq6667log
    accesslist101denyudpanyanyeq6668log
    accesslist101denyudpanyanyeq6669log
    accesslist101denyudpanyanyeq6670log
    accesslist101denyudpanyanyeq7000log
    accesslist101denyudpanyanyeq1604log
    accesslist101denyudpanyanyeq31337log
    accesslist101denytcpanyanyeq31337log
    accesslist101denyudpanyanyeq12345log
    accesslist101denyudpanyanyeq12346log
    accesslist101denytcpanyanyeq6723log
    accesslist101denyudpanyanyeq6838log
    accesslist101denyudpanyanyeq7983log
    accesslist101denyudpanyanyeq9325log
    accesslist101denyudpanyanyeq10498log
    accesslist101denytcpanyanyeq12754log
    accesslist101denytcpanyanyeq15104log
    !
    !filtrespourlesdenisdeservicessyn00etattaqueddos
    !
    accesslist101denyudpanyanyeq65000log
    accesslist101denytcpanyanyeq65000log
    accesslist101denyudpanyanyeq16660log
    accesslist101denytcpanyanyeq16660log
    accesslist101denyudpanyanyeq60001log
    accesslist101denytcpanyanyeq60001log
    accesslist101denyudpanyanyeq27444log
    accesslist101denyudpanyanyeq34555log
    accesslist101denytcpanyanyeq1524log
    accesslist101denytcpanyanyeq27665log
    accesslist101denyudpanyanyeq27665log
    accesslist101denyudpanyanyeq31335log
    !
    !filtrescertainsservicesvenantdel'ext
    !bootp(67UDP),),tftpd(69,UDP),syslog(514,UDP),sunrpc(111,TCP/UDP),snmp(161,UDP)
    !xdmcp(177,UDP),login(513,TCP),shell(514,TCP),RDP(3389),Netbios(1001,1002),
    !imap(143TCPattentionvouspouvezenavoirbesoin),ipx(213,UDP/TCP),wins(1512,UDP/TCP)
    !microsoft(135>139),6000>6002X,161,162SNMP
    !194irc,111portmap,511>515rcommandeetlpr,nfs
    !2000>2003openwin,79finger
    !512515,rcommandetlpd
    accesslist101denyudpanyanyeqbootpslog
    accesslist101denyudpanyanyeqtftplog
    accesslist101denytcpanyanyeq87log
    accesslist101denytcpanyanyeq95log
    accesslist101denyudpanyanyeq111log
    accesslist101denytcpanyanyeq111log
    accesslist101denyudpanyanyeq135log
    accesslist101denytcpanyanyeq135log
    accesslist101denyudpanyanyeq136log
    accesslist101denytcpanyanyeq136log
    accesslist101denyudpanyanyeq137log
    accesslist101denytcpanyanyeq137log
    accesslist101denyudpanyanyeq138log
    17

    accesslist101denytcpanyanyeq138log
    accesslist101denyudpanyanyeq139log
    accesslist101denytcpanyanyeq139log
    accesslist101denyudpanyanyeq143log
    accesslist101denytcpanyanyeq143log
    accesslist101denytcpanyanyeq144log
    accesslist101denytcpanyanyrange161162log
    accesslist101denyudpanyanyrange161162log
    accesslist101denyudpanyanyeq177log
    accesslist101denyudpanyanyeq194log
    accesslist101denytcpanyanyeq194log
    accesslist101denytcpanyanyeq213log
    accesslist101denyudpanyanyeq213log
    accesslist101denytcpanyanyeqexeclog
    accesslist101denyudpanyanyeqbifflog
    accesslist101denyudpanyanyeqwholog
    accesslist101denyudpanyanyeqsysloglog
    accesslist101denytcpanyanyeq512log
    accesslist101denytcpanyanyeq513log
    accesslist101denytcpanyanyeq514log
    accesslist101denyudpanyanyeq514log
    accesslist101denytcpanyanyeq515log
    accesslist101denyudpanyanyeq1001log
    accesslist101denyudpanyanyeq1002log
    accesslist101denyudpanyanyeq1494log
    accesslist101denytcpanyanyeq1494log
    accesslist101denyudpanyanyeq1604log
    accesslist101denytcpanyanyeq1604log
    accesslist101denyudpanyanyeq1512log
    accesslist101denytcpanyanyeq1512log
    accesslist101denyudpanyanyeq2000log
    accesslist101denyudpanyanyeq2001log
    accesslist101denyudpanyanyeq2002log
    accesslist101denyudpanyanyeq2003log
    accesslist101denyudpanyanyeq2049log
    accesslist101denytcpanyanyeq2049log
    accesslist101denyudpanyanyeq3389log
    accesslist101denyudpanyanyeq6000log
    accesslist101denyudpanyanyeq6001log
    accesslist101denytcpanyanyeq6000log
    accesslist101denytcpanyanyeq6001log
    !
    !...etautorisertoutlereste.
    accesslist101permitipanyany
    !
    !
    !Findedclarationdelacl101
    !
    !Dclarationdelacl102
    !
    !
    Lesfiltres:
    !
    seulslesservicesusuels(telnet,mail,ftp,www,dns)sont
    !
    accessiblessurmesserveursetpasdautresservices.
    !
    Jinterditsunrseaupeusursaufpourmenvoyerdesmails
    !
    toutleresteestautoris(jesurveillemesserveursrseauxetpaslereste)
    !
    18

    !Jevidelesaccesslistcourantes
    noaccesslist102
    !
    !InterdirelesconnexionsentrantesdeSitesparticuliers(parexemplelerseauA.B.C.0)
    !Maisautoriserleurmail(25)etDNS(53)
    !
    accesslist102permittcpA.B.C.00.0.0.255anyeq25
    accesslist102permittcpA.B.C.00.0.0.255anyeq53
    accesslist102denytcpA.B.C.00.0.0.255any
    accesslist102denyudpA.B.C.00.0.0.255any
    !
    !
    !Protgernosmachinestressensibles:pasd'IPavecl'extrieur
    !X.Y.Z.SENSIBLEetX.Y.Z.SYSLOG(memepasensortie)
    accesslist102denyipanyhostX.Y.Z.SENSIBLElog
    accesslist102denyipanyhostX.Y.Z.SYSLOGlog
    !
    !AccepterlesVRAISAMISpourtout??
    !(estcebieneuxousontt'ilsspoofsPeutetretropdangereux)
    !autorisationdurseauE.F.G.0/24pourtout
    accesslist102permitipE.F.G.00.0.0.255anylog
    !
    !onveutprotgersesserveursrseaux(etuniquementeux)
    !
    !Filtressurleserveurdemessagerie,dnsetpop:X.Y.Z.1:
    !
    !Autoriseleport113(RFC931)surmonserveur
    accesslist102permittcpanyhostX.Y.Z.1eq113
    !
    !AccsauDNS
    accesslist102permitudpanyhostX.Y.Z.1eqdomain
    accesslist102permittcpanyhostX.Y.Z.1eqdomain
    !
    !accssmtp(messagerie)
    accesslist102permittcpanyhostX.Y.Z.1eqsmtp
    !
    !accspop
    accesslist102permittcpanyhostX.Y.Z.1eq110
    !
    !onbloquelerestesurceserveuretonlogpourvoirlestentativesdaccs
    accesslist102denyipanyhostX.Y.Z.1log
    !
    !Filtressurleserveurwww,telnet,ftpetntp:X.Y.Z.2
    !NTP
    accesslist102permitudpanyhostX.Y.Z.2eqntp
    !telnet
    accesslist102permitudpanyhostX.Y.Z.2eqtelnet
    !FTPconnexiondecontrleetdedonnes
    accesslist102permittcpanyhostX.Y.Z.2eqftp
    accesslist102permittcpanyhostX.Y.Z.2eqftpdata
    !WWW
    accesslist102permittcpanyhostX.Y.Z.2eqwww
    !onbloquelerestesurceserveuretonlogue
    accesslist102denyipanyhostX.Y.Z.2log
    !
    !...etautorisertoutlereste.
    accesslist102permitipanyany
    !
    19

    !findedclarationdelacl102
    !Dclarationauniveaudelinterfaceeth0
    !
    interfaceEthernet0
    ipaddressF.G.H.254255.255.255.0
    !l'ACLnumro101s'appliquepourlespaquetsquientrentdanslerouteurparlinterfaceEthernet0
    ipaccessgroup101in
    !Lerouteurdoitconserverunetracedetouslespaquetsrejetspourcausedeviolationd'uneACL
    !associecetteinterface.
    !Lerouteurconservedansunetable:
    !l'adresseIPdel'metteurdupaquet
    !l'adresseIPdudestinatairedupaquet
    !lenombredetentatives
    !lataillecumuledespaquetsrejets
    ipaccountingaccessviolations
    noipproxyarp
    !rejetsbroadcasticmp
    noipdirectedbroadcast
    !Rejetsdespaquetsicmpredirect(vitemodificationdelapolitiquederoutage).
    noipredirects
    interfaceEthernet1
    !descriptionConnexionrseaulocal
    ipaddressX.Y.Z.254255.255.255.0
    !l'ACLnumro102s'appliquepourlespaquetsquisortirontversmonrseauparlinterfaceEthernet1
    ipaccessgroup102out
    ipaccountingaccessviolations
    noipproxyarp
    !filtresbroadcasticmp
    noipdirectedbroadcast
    noipredirects

    Remarque:
    Contrairementauxdeuxexemplessuivants,cettepolitiquenemodifiepaslesservicesdisponiblespourles
    utilisateurs.

    20

    Exempledeconfigurationsavecaccesslist:filtrestrsserrs
    Politique:"toutcequin'estpasexplicitementautorisestinterdit"
    oninterditd'abordexplicitement
    onautorisecequonveut
    puisonbloquecequireste.
    Note:lACL101nestpasremiseicimaiscestlammequedanslexemplefiltrespeuserrs.

    RouteurFT
    F.G.H.253
    RseaudinterconnexionF.G.H.0
    Interfaceeth0:

    Routeurdusite

    onappliquelacl101surlespaquetsentrants
    AdresseInterfaceeth1:F.G.H.254

    Interfaceeth1:

    onappliquelacl102surlespaquetssortants
    AdresseIPinterfaceeth2:X.Y.Z.254

    RseauX.Y.Z.0

    Station1

    Station2

    Station3

    X.Y.Z.1X.Y.Z.2
    Messagerie,pop,
    www,ntp
    Dns
    telnet,ftp
    !accesslistdecontrledecequirentresurlerseaudtablissement(acl101)
    !etdecequirentredansmonrseau(acl102)
    !MarchesurlesversionsCISCOpostrieuresa10.xx
    !
    !Dclarationdelacl101
    !
    !
    Voirlacl101delexemplefiltrespeuserrs.etinsreravantlafin:
    !Permettreanotrerouteurdedialogueravecsonvoisin
    !maisapersonned'atteindrenotrerouteurdel'extrieur.
    !(amodifiersinecessaire)
    !saufenICMP
    accesslist101permitiphostF.G.H.253hostF.G.H.254
    accesslist101permiticmpanyhostF.G.H.254
    !autoriserripV2
    accesslist101permitudphostF.G.H.253224.0.0.015.255.255.255
    !
    !Findedclarationdelacl101
    21

    !
    !Dclarationdelacl102
    !
    !
    !Lesfiltres:
    !seulslesservicesusuels(telnet,mail,ftp,www,dns,pop,ntp)sont
    !accessibles,etce,seulementverslesmachinesquihbergentdetelsservices.
    !Jespcidfieparticulirementcertainsrseaux(lesennemisetlesamis)
    !toutleresteestinterdit
    !
    !Jevidelesaccesslistcourantes
    noaccesslist102
    !
    !
    !J'autoriseICMPsurtoutesmesmachines(cfremarquessuricmp)
    accesslist102permiticmpanyX.Y.Z.00.0.0.255
    !
    !Protgernosmachinestressensibles:pasd'IPavecl'extrieur
    !X.Y.Z.SENSIBLEetX.Y.Z.SYSLOG(memepasensortie)
    accesslist102denyipanyX.Y.Z.SENSIBLE0.0.0.0log
    accesslist102denyipanyX.Y.Z.SYSLOG0.0.0.0log
    !
    !AccepterlesVRAISAMISpourtout??
    !(estcebieneuxousontt'ilsspoofsPeutetretropdangereux)
    !autorisationdurseauE.F.G.0/24pourtout
    accesslist102permitipE.F.G.00.0.0.255anylog
    !
    !Lefiltredesportsdangereuxatfaitauniveaudelinterfaceethernet1.Cestbiensur
    !adapterenfonctiondevotrearchitecture.
    !
    !Jautoriselesconnexionstcptablie(doncinitiesdepuislintrieur).
    !cf:http://www.urec.cnrs.fr/cours/Reseau/tcpip/sld053.htm
    !
    accesslist102permittcpanyX.Y.Z.00.0.0.255established
    !
    !Pourpouvoirfaireduftpsortantetnonpassif:jautoriselesconnexions
    !surdesports>1024enprovenancedesserveursftp
    accesslist102permittcpanyeq20X.Y.Z.000.0.0.255gt1023
    !
    !
    !Filtressurleserveurdemessagerie,dnsetpop:X.Y.Z.1:
    !
    !Autoriseleport113(RFC931)surmonserveur
    accesslist102permittcpanyhostX.Y.Z.1eq113
    !
    !AccesauDNS
    accesslist102permitudpanyhostX.Y.Z.1eqdomain
    accesslist102permittcpanyhostX.Y.Z.1eqdomain
    !
    !accssmtp(messagerie)
    accesslist102permittcpanyhostX.Y.Z.1eqsmtp
    !
    !accspop
    accesslist102permittcpanyhostX.Y.Z.1eq110
    !
    !Filtressurleserveurwww,telnet,ftpetntp:X.Y.Z.2
    !NTP
    accesslist102permitudpanyhostX.Y.Z.2eqntp
    22

    !telnet
    accesslist102permitudpanyhostX.Y.Z.2eqtelnet
    !FTPconnexiondecontrleetdedonnes
    accesslist102permittcpanyhostX.Y.Z.2eqftp
    accesslist102permittcpanyhostX.Y.Z.2eqftpdata
    !WWW
    accesslist102permittcpanyhostX.Y.Z.2eqwww
    !
    !Sionadautresserveursmettrecestlemoment
    !surcerseauilnyariendautres
    !../..
    !
    !Simulticast
    !
    accesslist102permitip224.0.0.015.255.255.255anylog
    !
    !autorisetoutleUDPaudelade1023
    accesslist102permitudpanyX.Y.Z.00.0.0.255gt1023
    !
    !interdittoutlesautresTCP
    accesslist103denytcpanyX.Y.Z.00.0.0.255log
    !
    !interdittoutlesautresUDP
    accesslist103denyudpanyX.Y.Z.00.0.0.255log
    !
    !autorisetoutlereste
    !
    accesslist102permitipanyany
    !
    !Dclarationauniveaudelinterfaceeth0
    !
    interfaceEthernet0
    ipaddressF.G.H.254255.255.255.0
    !l'ACLnumro101s'appliquepourlespaquetsquientrentdanslerouteurparlinterfaceEthernet1
    ipaccessgroup101in
    !Lerouteurdoitconserverunetracedetouslespaquetsrejetspourcausedeviolationd'uneACL
    !associecetteinterface.
    !Lerouteurconservedansunetable:
    !l'adresseIPdel'metteurdupaquet
    !l'adresseIPdudestinatairedupaquet
    !lenombredetentatives
    !lataillecumuledespaquetsrejets
    ipaccountingaccessviolations
    !filtresbroadcasticmp
    noipdirectedbroadcast
    noipproxyarp
    !Rejetsdespaquetsicmpredirect(vitemodificationdelapolitiquederoutage).
    noipredirects
    interfaceEthernet1
    !descriptionConnexionrseaulocal
    ipaddressX.Y.Z.254255.255.255.0
    !l'ACLnumro102s'appliquepourlespaquetsquisortentdurouteurparlinterfaceEthernet2
    ipaccessgroup102out
    ipaccountingaccessviolations
    !filtresbroadcasticmp
    noipdirectedbroadcast
    noipproxyarp
    23

    noipredirects
    Remarque:
    CetteconfigurationfiltretouslesservicesmaislaissepasserlespaquetsUDP>1023permettantdenepastrop
    contraindrelesutilisateursavecdesservicesparticuliers.

    24

    Exempledeconfigurationsavecaccesslist:filtrestrstrsserrs
    Politique:"toutcequin'estpasexplicitementautorisestinterdit"
    oninterditd'abordexplicitement
    onautorisecequonveut
    puisonbloquecequireste.
    Note:lACL101nestpasremiseicimaiscestlammequedanslexemplefiltrespeuserrs.

    RouteurFT
    RseaudinterconnexionF.G.H.0
    Interfaceeth0:onappliquelacl101surlespaquetsentrants
    AdresseInterfaceeth1:F.G.H.254
    Routeurdusite
    Interfaceeth1:onappliquelacl102surlespaquetssortants
    AdresseIPinterfaceeth2:X.Y.Z.254
    RseauX.Y.Z.0

    Station1

    Station2

    Station3

    X.Y.Z.1X.Y.Z.x
    Messagerie,pop,
    www,ntp
    Dns
    telnet,ftp
    !accesslistdecontrledecequirentresurlerseaudtablissement(acl101)
    !etdecequirentredansmonrseau(acl102)
    !MarchesurlesversionsCISCOpostrieuresa10.xx
    !
    !Dclarationdelacl101
    !
    !
    Voirlacl101delexemplefiltrespeuserrs.etrajouter:
    !Permettreanotrerouteurdedialogueravecsonvoisin
    !maisapersonned'atteindrenotrerouteurdel'extrieur.
    !(amodifiersinecessaire)
    !saufenICMP.
    accesslist101permitiphostF.G.H.253hostF.G.H.254
    accesslist101permiticmpanyhostF.G.H.254
    !autoriserripV2
    accesslist101permitudphostF.G.H.253224.0.0.015.255.255.255
    !
    !
    !Findedclarationdelacl101
    !
    !Dclarationdelacl102
    25

    !
    !Lesfiltres:
    !seulslesservicesusuels(telnet,mail,ftp,www,dns,pop,ntp)sont
    !accessibles,etce,seulementverslesmachinesquihbergentde
    !telsservices.
    !toutleresteestinterdit(mmelesportsUDP>1024)
    !
    !Jevidelesaccesslistcourantes
    noaccesslist102
    !
    !InterdictiondeICMP(ping)surl'adressebroadcastetladressederseau
    !attentionsilerseauestsubnett,pensezauxadressesdesousrseauxetauxadresses
    !debroadcastdessousrseaux.
    accesslist102denyicmpanyhostX.Y.Z.255log
    accesslist102denyicmpanyhostX.Y.Z.0log
    !
    !J'autoriseICMPsurtoutesmesmachines
    accesslist102permiticmpanyX.Y.Z.00.0.0.255
    !
    !Protgernosmachinestressensibles:pasd'IPavecl'extrieur
    !X.Y.Z.SENSIBLEetX.Y.Z.SYSLOG(memepasensortie)
    accesslist102denyipanyX.Y.Z.SENSIBLE0.0.0.0log
    accesslist102denyipanyX.Y.Z.SYSLOG0.0.0.0log
    !
    !AccepterlesVRAISAMISpourtout??
    !(estcebieneuxousontt'ilsspoofsPeutetretropdangereux)
    !autorisationdurseauE.F.G.0/24pourtout
    accesslist102permitipE.F.G.00.0.0.255anylog
    !
    !Lefiltredesportsdangereuxatfaitauniveaudelinterfaceethernet1.Cestbiensur
    !adapterenfonctiondevotrearchitecture.
    !
    !Jautoriselesconnexionstcptablie(doncinitiedepuislintrieur).
    !cf:http://www.urec.cnrs.fr/cours/Reseau/tcpip/sld053.htm
    !
    accesslist102permittcpanyX.Y.Z.00.0.0.255established
    !
    !Pourpouvoirfaireduftpsortantetnonpassif:jautoriselesconnexions
    !surdesports>1024enprovenancedesserveursftp
    accesslist102permittcpanyeq20X.Y.Z.000.0.0.255gt1023
    !
    !JautorisemonserveurDNSsecondaireextrieurconsulterleprimaire
    !etrpondreauxrequtesdemesclients
    accesslist102permittcp@IPsecondaireeq53X.Y.Z.00.0.0.255gt1023
    accesslist102permitudp@IPsecondaireeq53X.Y.Z.00.0.0.255gt1023
    !avoirpourlesclientsmicrosoft:camarchesanslesdeuxlignescidessousmaisdespaquets
    !sontfiltrs
    !accesslist102permittcp@IPsecondaireeq53X.Y.Z.00.0.0.255eq137
    !accesslist102permitudp@IPsecondaireeq53X.Y.Z.00.0.0.255eq137
    !
    !JautoriseunserveurDNSexternerpondreauxrequtesdemesclients
    accesslist102permitudp@IPdnsexterneeq53X.Y.Z.00.0.0.255gt1023
    !
    !Filtressurleserveurdemessagerie,dnsetpop:X.Y.Z.1:
    !
    !Autoriseleport113(RFC931)surmonserveur
    accesslist102permittcpanyhostX.Y.Z.1eq113
    !
    26

    !AccesauDNS
    accesslist102permitudpanyhostX.Y.Z.1eqdomain
    accesslist102permittcpanyhostX.Y.Z.1eqdomain
    !
    !accssmtp(messagerie)
    accesslist102permittcpanyhostX.Y.Z.1eqsmtp
    !
    !accspop
    accesslist102permittcpanyhostX.Y.Z.1eq110
    !
    !Filtressurleserveurwww,telnet,ftpetntp:X.Y.Z.2
    !NTP
    accesslist102permitudpanyhostX.Y.Z.2eqntp
    !telnet
    accesslist102permitudpanyhostX.Y.Z.2eqtelnet
    !FTPconnexiondecontrleetdedonnes
    accesslist102permittcpanyhostX.Y.Z.2eqftp
    accesslist102permittcpanyhostX.Y.Z.2eqftpdata
    !WWW
    accesslist102permittcpanyhostX.Y.Z.2eqwww
    !
    !Sionadautresserveursmettrecestlemoment
    !surcerseauilnyariendautres
    !../..
    !
    !Simulticast
    !
    accesslist102permitip224.0.0.015.255.255.255anylog
    !
    !Onbloquetoutlereste
    !
    accesslist102denyipanyanylog
    !
    !Dclarationauniveaudelinterfaceeth0
    !
    interfaceEthernet0
    ipaddressF.G.H.254255.255.255.0
    !l'ACLnumro101s'appliquepourlespaquetsquientrentdanslerouteurparlinterfaceEthernet1
    ipaccessgroup101in
    !Lerouteurdoitconserverunetracedetouslespaquetsrejetspourcausedeviolationd'uneACL
    !associecetteinterface.
    !Lerouteurconservedansunetable:
    !l'adresseIPdel'metteurdupaquet
    !l'adresseIPdudestinatairedupaquet
    !lenombredetentatives
    !lataillecumuledespaquetsrejets
    ipaccountingaccessviolations
    noipproxyarp
    !filtresbroadcasticmp
    noipdirectedbroadcast
    !Rejetsdespaquetsicmpredirect(vitemodificationdelapolitiquederoutage).
    noipredirects
    interfaceEthernet1
    !descriptionConnexionrseaulocal
    ipaddressX.Y.Z.254255.255.255.0
    !l'ACLnumro102s'appliquepourlespaquetsquisortentdurouteurparlinterfaceEthernet2
    27

    ipaccessgroup102out
    ipaccountingaccessviolations
    !filtresbroadcasticmp
    noipdirectedbroadcast
    noipproxyarp
    noipredirects

    28

    Remarques
    1/diffrencesentrelesexemples2et3(filtrestrsserretfiltrestrstrsserrs)
    Lesexemples2et3filtrentenentretouslesservicespournautoriserquelesservicesconnus.Leresteest
    bloqu.Parcontrelexemple2autoriselesportsUDP>1023alorsquecenestpasfaitdanslexemple3.
    Sectiondvelopper.
    2/largleestablished
    laligneaccesslist102permittcpanyX.Y.Z.00.0.0.255establishedpermetdelaisserpasseren
    entredemonrseautouslessegmentsTCP(contenudansundatagrammeIP)entrantdontlaconnexionat
    initiedepuislintrieurdurseau(lebitd'acquittementdepaquetoudefindeconnexionestpositionn).
    Siuneconnexionestinitiepartirdelintrieurdemonrseau,toutpaquetenretourauraundecesdrapeaux
    positionns,donclepaquetpasseragrcecettergle..
    OntrouvemaintenantuncertainnombredattaquespositionnantlebitXXdusegmentTCPpourfairecroire
    uneconnexiontablie.
    2/Incidencesurlesservicesaccessiblesparmesutilisateurs:exempleduFTP.
    Lerseauestcompltementfiltrinterdisantdenombreuxservicescertesdelextrieurverslintrieurmais
    aussidelintrieurverslextrieur.
    ExempledeproblmesavecleprotocoleFTPsurlamachineX.Y.Z.1:
    onnarienfiltrdanslesensintrieurversextrieur.Parcontreenentresurcettemachinetoutestfiltrsaufles
    portscorrespondantssesservices.
    LeserviceFTPutilise2numrosdeports:unpourlecontrle(commandesetrponses),leport21,lautrepour
    letransfertdedonnes,leport20.Cetteconnexionestouvertepuisfermechaquetransfert.
    SijinitieuneconnexionFTPpartirdunemachineAsituelintrieurdemonrseauversunemachineB
    situesurunsitedistant,laconnexionvasefaireversleport21duserveurB.
    OnaurapourlamachineA,unportsource>1024,pourlamachineBunportdestinationgale21,letouten
    TCP.
    LeserveurBrpondraversleport>1024avecunportsourcede21.Commelaconnexionestinitieparla
    machineA,lesfiltreslaisserontpasserlepaquet(grcelaligneaccesslist102permittcpanyX.Y.Z.0
    0.0.0.255established).Toutledbutdelaconnexion(connexion,identification,contrle)seferadecette
    manire:initieparlappelantA.Parcontrelchangedesdonnessefaitparleport20etestinitiepar
    lappel(B)aprsavoirreuunecommandesurleport21.Vudurouteur,lespaquetsayantpour@IPsourcela
    machineB,portsource20etdestinationdelamachineAport>1024,semblentinitisparlamachineBdonc
    filtrs.Dolintrtdelaligneaccesslist102permittcpanyeq20X.Y.Z.000.0.0.255gt
    1023.
    AuniveaudeschangesTCP:
    Sens
    PortmachineA
    portmachineB

    38025
    21
    initiationdelaconnexion

    38025
    21
    rponse(ack)

    38025
    21
    ack

    38025
    21
    demandelogin
    ../..

    38025
    21
    envoicommandels

    38025
    21
    rponse(ack)

    38025
    20
    envoidonnes
    Icileportdedpart38025estattribudemaniredynamiqueetseradiffrentchaqueconnexion(mais
    suprieur1023)
    29

    LaisserpasserlespaquetsTCPtablisnesuffitplus,carlaconnexionestinitieparB
    Cestunpeufaireuntroupourenboucherunautre.Unpiratebienintentionnpourrabidouillersonapplication
    etattaquerlerseauenfaisantsemblantdevenirdunportsourcegale20
    CestpourquoijepensequelefiltragedesportsUDP/TCPdangereuxmisdanslACL101resteindispensable.
    Etlemodepassif?
    Laligneaccesslist102permittcpanyeq20X.Y.Z.000.0.0.255gt1023nestpasforcment
    obligatoire.SanselleonpourratoujoursfaireduFTPdelintrieurverslextrieurconditiondutiliserlemode
    passifdeFTP(voirdanslesoptionsduclientFTPtousnacceptentpascemode).Aveccetteoption,le
    transfertseferaviadesports>1024etdoncnonfiltrs.LemodepassifdemandeauSERVERdesemettre"
    l'coute"d'unportdedonnes(diffrentduportpardfautet>1024)etd'attendreunedemandedeconnexion
    pluttquedeprendrel'initiatived'entablirunesurrceptiond'unecommandedetransfert.Larponsecette
    commandeprcisel'adresseetleportsurlesquelsleserveurs'estmisencoute.Lespaquetssontalorsautoriss
    grcelargleestablished
    Dautresproblmesseretrouverontpourtouteslesmachinesfiltresdemanireforte.Onpeutarrangerles
    chosesaumoinspourftpettelnet,maisonnepourrapasprendreencomptetouslesservices(netmeeting
    besoinduport1720,ircoutoutesapplicationsjouantsurdesports>1024).
    3/filtresdesportsUDPdangereux
    Lacl101filtresentreautrelesportsUDPetTCPrputscommedangereux.CettelisteestvalableuninstantT
    etdoittreadapteetvrifie.
    Lexemple3(filtrestrstrsserrs)bloquetouslesportsUDPetTCPsaufceuxautoriss.Cettelistepeut
    alorsparatreinutile.MaislaligneconcernantlautorisationduFTP,accesslist102permittcpanyeq20
    X.Y.Z.000.0.0.255gt1023(ilpeutyavoirdautresouverturesspcifiques),ouvreunebrchedangereuseet
    ncessiteducoupencorelefiltresurlesportsdangereux.
    Vouspouvezconsulterunelistedeportsutilisspardeschevauxdetroie:
    http://packetstorm.securify.com/trojans/Trojan_Ports_List.r_m
    4/noserviceudpsmallservers
    cettecommandeglobalepermetdeproscrirelechoudp.

    30

    Dautresfiltres
    Limitationdelaccsmonrouteuravectelnet:
    !Onn'autorisel'accesauCiscoquedepuismonreseauX.Y.Z.0
    !
    accesslist98permitX.Y.Z.0.00.0.0.255
    !
    linecon0
    exectimeout00
    password7XXXXXXXXXXXXXXXXXXXX
    login
    lineaux0
    linevty04
    password7XXXXXXXXXXXXXXXXXXXX
    accessclass98in
    login
    !
    end
    Filtresensortie
    Plusieurspossibilitspourlesfiltresensortiesuivantcequonfaire:
    seprmunircontredesattaquesvenantdelintrieurdesonrseauverslextrieur
    bloquerlaccsacertainsservices
    bloquerlesadressesprives
    bloquerlesportsdedeniedeservicesdistribues
    exemple:
    noaccesslist110
    accesslist110denyipanyX.Y.Z.00.0.0.255(antispoofing)
    accesslist110denyip127.0.0.00.255.255.255any(reseauxprivs)
    accesslist110denyip10.0.0.00.255.255.255any
    accesslist110denyip172.16.0.00.15.255.255any
    accesslist110denyip192.168.0.00.0.255.255any
    accesslist110denyipany0.0.0.0255.255.255.0
    accesslist110denyipany0.0.0.255255.255.255.0
    accesslist110denyipanyX.Y.Z.2550.0.0.255pourun/24
    accesslist110denyipanyX.Y.Z.630.0.0.192pourun/26
    accesslist110denyipanyX.Y.Z.310.0.0.224pourun/27
    !eventuellementsivousavezdsdoutes
    !portudpdesattaquesddosetsyn00
    !
    accesslist110denyudpanyanyeq65000log
    accesslist110denytcpanyanyeq65000log
    accesslist110denyudpanyanyeq16660log
    accesslist110denytcpanyanyeq16660log
    accesslist110denyudpanyanyeq60001log
    accesslist110denytcpanyanyeq60001log
    accesslist110denyudpanyanyeq27444log
    accesslist110denyudpanyanyeq34555log
    accesslist110denytcpanyanyeq27665log
    accesslist110denyudpanyanyeq27665log
    accesslist110denyudpanyanyeq31335log
    !
    !blocagedunservice:exempleavecIRC
    31

    !
    accesslist110denyudpanyanyrange66656670log
    accesslist110denytcpanyanyrange66656670log
    accesslist110denyudpanyanyeq7000log
    accesslist110denytcpanyanyeq7000log
    !
    !blocagedelaccsaNapster,scouret/ougnutella
    !attentionlesnumrosdeportssontconfigurables
    !
    !napster:tcp6697,6699,8875,7777
    accesslist110denytcpanyanyeq6697log
    accesslist110denytcpanyanyeq6699log
    accesslist110denytcpanyanyeq8875log
    accesslist110denytcpanyanyeq7777log
    !scourtcp6346
    accesslist110denytcpanyanyeq6346log
    !gnutellatcp9001
    accesslist110denytcpanyanyeq9001log
    !
    !etnepasoublier
    !toutlereste:GO
    accesslist110permitipanyany
    avecauniveaudelinterfacedesortieducampus(eth0surnosexemples):
    inteth0
    ipaccessgroup110out
    FiltressurICMP
    Filtrericmpesttoujoursproblmatique.Cestunprotocolelafoistrsutilemaisaussipotentiellement
    dangereux.Denombreuseattaquessontbasesdessus(smurfetautresjoyeusetes).Parmisesdiffrentes
    fonctionsonpeuttrouver:fragmentation(type3,messagedutype"destinationunreachable"),PATHMTU
    Discovery(type4),dropdespaquets,traceroute,ping,controledeflux.
    Pourinfo,voicilalistecompltedesoptionsdanslecasd'unCisco:
    <0255>
    ICMPmessagetype
    administrativelyprohibited
    Administrativelyprohibited
    alternateaddress
    Alternateaddress
    conversionerror
    Datagramconversion
    dodhostprohibited
    Hostprohibited
    dodnetprohibited
    Netprohibited
    dscp
    Matchpacketswithgivendscpvalue
    echo
    Echo(ping)
    echoreply
    Echoreply
    generalparameterproblem
    Parameterproblem
    hostisolated
    Hostisolated
    hostprecedenceunreachable
    Hostunreachableforprecedence
    hostredirect
    Hostredirect
    hosttosredirect
    HostredirectforTOS
    hosttosunreachable
    HostunreachableforTOS
    hostunknown
    Hostunknown
    hostunreachable
    Hostunreachable
    informationreply
    Informationreplies
    informationrequest
    Informationrequests
    log
    Logmatchesagainstthisentry
    loginput
    Logmatchesagainstthisentry,includinginputinterface
    32

    maskreply
    Maskreplies
    maskrequest
    Maskrequests
    mobileredirect
    Mobilehostredirect
    netredirect
    Networkredirect
    nettosredirect
    NetredirectforTOS
    nettosunreachable
    NetworkunreachableforTOS
    netunreachable
    Netunreachable
    networkunknown
    Networkunknown
    noroomforoption
    Parameterrequiredbutnoroom
    optionmissing
    Parameterrequiredbutnotpresent
    packettoobig
    FragmentationneededandDFset
    parameterproblem
    Allparameterproblems
    portunreachable
    Portunreachable
    precedence
    Matchpacketswithgivenprecedencevalue
    precedenceunreachable
    Precedencecutoff
    protocolunreachable
    Protocolunreachable
    reassemblytimeoutReassemblytimeout
    redirect
    Allredirects
    routeradvertisement
    Routerdiscoveryadvertisements
    routersolicitation
    Routerdiscoverysolicitations
    sourcequench
    Sourcequenches
    sourceroutefailed
    Sourceroutefailed
    timeexceeded
    Alltimeexceededs
    timerange
    Specifyatimerange
    timestampreply
    Timestampreplies
    timestamprequest
    Timestamprequests
    tos
    MatchpacketswithgivenTOSvalue
    traceroute
    Traceroute
    ttlexceeded
    TTLexceeded
    unreachable
    Allunreachables
    Pourceuxquiveulentfiltrerleprotocolicmp,voiciaumoinscequilfautautoriser:
    accesslist102permiticmpanyanyunreachableparameterproblemsourcequench
    timeexceededttlexceededpackettoobig
    administrativelyprohibited
    accesslist102denyicmpanyany

    Autrement,pourceuxquiautorisentping,onpeutlimiterlesexcsventuelsenajoutantcecisurl'interface
    d'entre:
    ratelimitinputaccessgroup20007440001000010000conformactiontransmitexceed
    actiondrop
    avec:
    accesslist2000permiticmpanyanyechoreply
    accesslist2000permiticmpanyanyecho
    Anoterqueaprotgedanslesdeuxsens:ainsi,vousprotgezaussilemondeextrieurdessmurfeursqui
    auraientinvestivotresite.
    JecroisquecanemarchequeaveclesIOS12.Xetjenaipastest.
    Lalignenoipdirectedbroadcast:
    Cettecommandemettreauniveaudechaqueinterfaceestquivalenteauxdeuxrglessuivantes:
    denyicmpany0.0.0.255255.255.255.0
    denyicmpany0.0.0.0255.255.255.0

    33

    34

    Surveillanceetadministration
    SNMPetMRTG
    MRTGpermetdercuprernimportequellevariableSNMPetdelagrapher.
    OnneparlepasicidelinstallationdeMRTG,maisondonneuniquementdesexemplespourquelquesvariables
    intressantessurlesrouteursCisco.
    PourunepetitedocumentationsurlinstallationdeMRTG,cf:http://www.urec.cnrs.fr/urecor/ars/mrtg.txt
    PourpouvoirrcuprerlesvariablesSNMPdevotrerouteur,ilfautactiverSNMPetchoisirvotrenomde
    communaut(publicici)SNMP:
    Commandeglobale:
    snmpservercommunitypublicRO3
    Lechiffre3correspondunnumrodacl(histoiredecontinuerfiltrerlaccsauxvariablesSNMP).
    QuelquesvariablesintressantesavecunrouteurCISCO:
    JemetscidessouslesfichiersdeconfigurationMRTG,mrtg.cfgadaptersuivantvosconfigurations.Danstous
    cesfichiers,limportantestlavariabletarget.LeresteestdansladocMRTG.
    Lesdbits:utiliserlacommandecfgmakerdeMRTGenlappliquantvotrerouteurpourcrerunfichier
    mrtg.cfg.
    LaCPU
    ####################################################################
    #mrtgcpu
    ####################################################################
    WorkDir:/usr/local/apache/htdocs/mrtg/cpu/
    Options[^]:gauge,growright,nopercent
    Legend1[^]:Pourcentaged'utilisationCPU/5min
    LegendI[^]:&nbsp;:
    YLegend[^]:%utilisation
    ShortLegend[^]:%d'utilisationCPU
    MaxBytes[^]:999000000

    Target[cpurouteur]:.1.3.6.1.4.1.9.2.1.58.0&.1.3.6.1.4.1.9.2.1.58.0:public@nomrouteur
    Title[cpurouteur]:UtilisationCPUrouteur/5min
    PageTop[cpurouteur]:<H2>UtilisationCPUrouteur/5min</H2>
    LegendO[cpurouteur]:
    Lammoiredisponible:
    ####################################################################
    #mrtgmem
    ####################################################################
    WorkDir:/usr/local/apache/htdocs/mrtg/mem/

    Options[^]:gauge,growright,nopercent
    Legend1[^]:m&eacute;moirelibreenoctets
    LegendI[^]:&nbsp;:
    YLegend[^]:octets
    ShortLegend[^]:octetsdem&eacute;moirelibre
    MaxBytes[^]:125000000

    Target[memrouteur]:.1.3.6.1.4.1.9.2.1.8.0&.1.3.6.1.4.1.9.2.1.8.0:public@nomrouteur
    Title[memrouteur]:M&eacute;moirelibrerouteur
    35

    PageTop[memrouteur]:<H2>M&eacute;moirelibrerouteur</H2>
    LegendO[memrouteur]:
    Lavariablerely
    Cettevariabledonneuneidedelafiabilitdesinterfaces.Savaleurdoittregale255demanireconstante.
    Onpeutlappliquerchacunedesinterfacesdurouteur:
    ####################################################################
    #mrtgrely
    ####################################################################
    WorkDir:/usr/local/apache/htdocs/mrtg/rely/
    options[^]:gauge,growright,nopercent
    Legend1[^]:
    LegendI[^]::
    YLegend[^]::
    ShortLegend[^]:
    MaxBytes[^]:999000000
    Language:french

    Target[relyint1]:.1.3.6.1.4.1.9.2.2.1.1.22.1&.1.3.6.1.4.1.9.2.2.1.1.22.1:public@nomrouteur
    PageTop[relyint1]:<H2>Variableinterface1</H2>
    Title[relyint1]:Variableinterface1
    LegendO[relyint1]:

    Target[relyint2]:.1.3.6.1.4.1.9.2.2.1.1.22.2&.1.3.6.1.4.1.9.2.2.1.1.22.2:public@nomrouteur
    PageTop[relyint2]:<H2>Variableinterface2</H2>
    Title[relyint2]:Variableinterface2
    LegendO[relyint2]:
    ../..
    etainsidesuitepourchacunedesinterfaces.

    Analysedeslogs
    Ilestindispensabledavoirunscriptquianalyseleslogsrcuprs.
    Sectiondvelopper.

    36

    Rfrences
    FiltressurlesiteduCRU:http://www.cru.fr/securite/1INDEXs/filtresrouteur.html
    CourssurlesfiltresCiscodeRolandDirlewanger:http://www.dr15.cnrs.fr/Cours/ACLCisco/
    FiltressurlesitedelUrec:http://www.urec.cnrs.fr/cours/securite/commencer/3.0.0.filtres.html
    Cisco:http://www.cisco.com/
    InternetSecurityAdvisories:http://www.cisco.com/warp/public/707/advisory.html
    IncreasingSecurityonIPNetworks:http://www.cisco.com/univercd/cc/td/doc/cisintwk/ics/cs003.htm
    BuildingBastionRoutersUsingCiscoIOSbybrettandvariablek:http://www.insecure.org/news/P5510.txt
    http://coombs.anu.edu.au/ipfilter/ipfilter.html
    Ungnrateurdaccesslist:http://stef.upicardie.fr/ftp/pub/cisco/Current/ciscoACL/

    37

    Vous aimerez peut-être aussi