Académique Documents
Professionnel Documents
Culture Documents
Liste d'accs
hussenet l.
Gnralit
z
FE0/0
hussenet l.
S0/0
out
in
in
out
Le filtrage en dtail
z
port src
port dst
ip src
ip dst
Zone ACL
Zone de commutation
9 8
hussenet l.
Le filtrage en dtail
z
port src
Zone ACL
port dst
ip src
condition 1 (permit)
condition 2 (deny)
condition 3 (permit)
ip dst
9 8
hussenet l.
Zone de commutation
Le filtrage en dtail
z
port src
Zone ACL
port dst
ip src
condition 1 (permit)
condition 2 (deny)
condition 3 (permit)
ip dst
8
9
9 8
hussenet l.
Zone de commutation
Le filtrage en dtail
z
port src
Zone ACL
port dst
ip src
condition 1 (permit)
condition 2 (deny)
condition 3 (permit)
ip dst
8
8
8
9 8
hussenet l.
Zone de commutation
Le filtrage en dtail
z
data
port src
port dst
ip src
ip dst
hussenet l.
Interf
FE0/1
FE0/1
FE0/2
FE0/2
S0/0
S0/1
Le filtrage en dtail
z
port src
port dst
ip src
ip dst
Zone ACL
Zone de commutation
9 8
hussenet l.
hussenet l.
Types
z
hussenet l.
Instruction d'ACL
z
Le masque gnrique
Deux mots de 32 bits:
hussenet l.
Le masque gnrique
z
Exemple:
192.168.128.0
0.0.127.255
192.168.128.0
0.0.127.255
192.168.130.4
192.168.20.2
hussenet l.
Le masque gnrique
z
Exemple:
Je veux dsigner l'ensemble de la classe de
l'adresse rseau 172.16.1.0/24
Une adresse IP vrifie l'appartenance cet
ensemble ssi les 3 premiers octets correspondent
la classe rseau (peu importe la valeur du dernier
octet)
Le masque gnrique est donc:
172.16.1.0 0.0.0.255
hussenet l.
Le masque gnrique
z
Exemple:
Je veux dsigner l'ensemble de la classe de
l'adresse rseau 172.16.128.0/18
17210.1610.100000002.010
Bits devant tre vrifi
Le masque gnrique
z
Attention:
Le masque gnrique n'est pas le complment du
masque !
un masque rseau
z
z
un masque gnrique
z
hussenet l.
Le masque gnrique
z
Exemple:
Je m'intresse seulement aux machines 1 7 du
rseau 172.16.1.0/24 dont les adresses IP sont
respectivement 172.16.1.1 jusqu' 172.16.1.7
Le masque gnrique doit vrifier deux aspects:
0.0.0.7
0.0.0.0
hussenet l.
hussenet l.
l'adresse IP source
hussenet l.
l'adresse IP source
l'adresse IP destination
le protocole de niveau 3 ou 4 (icmp, ip, udp, tcp, )
le numro de port
S1
Rseau B
Rseau A
S1
E0
172.16.1.0/24
hussenet l.
RA
S2
E0
RB
172.16.2.0/24
RA/E0/IN ?
RA/S1/OUT ?
RB/S2/IN ?
Rseau C
non 172.16.0.0/16
S2
S1
Rseau B
Rseau A
S1
E0
172.16.1.0/24
hussenet l.
RA
S2
E0
RB
172.16.2.0/24
hussenet l.
Lab_A/E0/in ?
Lab_D/E0/out ?
Lab_B
S1
S0
Lab_C
S1
S0
Lab_A
Lab_D
S1
S0
E0
E0
219.17.100.0
223.8.151.0
210.93.105.0
192.5.5.0
hussenet l.
hussenet l.
Justification
Exemple: pourquoi router le trafic de 192.5.5.0 vers
210.93.105.0 si on sait pertinemment qu'il n'a pas le droit ?
Lab_B
S1
S0
Lab_C
S1
S0
Lab_A
Lab_D
S1
S0
E0
E0
219.17.100.0
223.8.151.0
210.93.105.0
192.5.5.0
hussenet l.
Dclaration
Router(config)# access-list id {permit | deny} protocol
source [source-mask destination destination-mask operator
operand] [established]
z
z
z
z
z
z
z
hussenet l.
autorise tous les htes du rseau 172.16.6.0/24 utiliser telnet vers tous les
rseaux
access-list 101 permit tcp 172.16.6.0 0.0.0.255 any eq telnet
hussenet l.
Exemple
On veut interdire l'accs l'hte 198.150.13.34
Il faut placer l'ACL sur C/E0/in
E0
E1
E0
S1
S0
E0
198.150.13.34
hussenet l.
A
221.23.123.0
ACL nomme
z
hussenet l.
Sur le routeur
show access-lists
montre toutes les ACL du routeur
show running-config
montre toutes les ACL et quelles interfaces elles sont
appliques
hussenet l.
Notes importantes
z
instruction access-class
LabA(config)# line vty 0 4
LabA(config-line)#login
LabA(config-line)# password cisco
LabA(config-line)# access-class 2 in
LabA(config-line)# end
hussenet l.
Notes importantes
z
hussenet l.
Log
z
Exemple:
access-list 101 deny any host 172.16.1.133 eq telnet log
hussenet l.
ACL et parefeu
z
Intrieur
Extrieur
Zone
dmilitarise
hussenet l.
ACL et parefeu
z
Intrieur
Extrieur
Zone
dmilitarise
hussenet l.
hussenet l.
Exemple d'utilisation
Dans la configuration ci-dessous, RTA est configur avec la listed'accs nomme STRICT et deux intervalles de temps, NO-HTTP et
UDP-YES:
hussenet l.
Commentaires
z
RTA(config)#access-list
RTA(config)#access-list
RTA(config)#access-list
RTA(config)#access-list
RTA(config)#access-list
RTA(config)#access-list
RTA(config)#access-list
hussenet l.
101
101
101
101
101
101
101
Filtrage de session
z
syn
syn+ack
ack
hussenet l.
Filtrage de session
z
Established
argument utilis exclusivement pour tcp
Syntaxe:
router(config)#access-list access-list-number permit tcp
source-address source-mask destination-address
destination-mask established
access-list
access-list
access-list
access-list
access-list
hussenet l.
101
101
101
101
101