Rponses TD ACL

Exercice 1
1.
10.250.20.112
2.
192.168.16.32
3.
172.250.16.32

0.0.0.31
0.0.0.127
0.0.0.31

Exercice 2
1. son numro est compris entre 1 et 99 ; par ailleurs, seule ladresse IP source est
mentionne
2. Elle oblige le rseau de droite naccepter que les paquets qui viennent du rseau de
gauche et inversement
3. non
4. non
5. il suffit dinterdire tout le trafic entrant sur la liaison srie :
access-list 100 deny ip any any
6. dans le sens entrant :
interface serial
ip access-group 100 in
7. le routeur naura pas traiter le trafic venant de lextrieur avant de linterdire
Exercice 3
1. cette ACL est fausse, elle interdit en fait tout le trafic sortant de E0 (c'est--dire vers le
rseau 172.16.3.0/24. Lide de ladministrateur tait de ninterdire que le trafic qui vient
du serveur 172.16.4.13
2. il faut ajouter : access-list 1 permit ip any any
Exercice 4
1. elle empche les machines du rseau de droite dutiliser ftp sur le rseau de gauche. Il faut
remarquer que cette ACL aurait pu avantageusement tre place en entre de linterface
E1.
2. il faut filtrer les deux ports car lapplication ftp les utilise tous les deux (21 : contrle ; 20 :
donnes)
3. impossible, car les ACLs standards ne permettent pas de spcifier un numro de port

Exercice 5
1. elle interdit tout car : si le paquet nest pas destination du port 21, il est refus par la
premire ligne, si le paquet est destination du port 80, il est refus par la deuxime ligne
2. On devine que ladministrateur voulait interdire tout, sauf les ports 80 et 21. Il aurait d
crire :
Router(config)#access-list 101 permit tcp 192.168.10.0 0.0.0.255 any eq 80
Router(config)#access-list 101 permit tcp 192.168.10.0 0.0.0.255 any eq 21
Router(config)#access-list 101 deny ip any any
Router(config)#interface ethernet 0
Router(config-if)#access-group 101 in

Exercice 6
1.

access-list 100 deny tcp host 172.16.3.12 172.16.4.0 0.0.0.255 eq 80

access-list 100 permit ip any any

interface ethernet0
ip access-group 100 in
3. il faut que le routeur filter le port 80, mais attention, dans cette situation le port 80 apparat
dans le champ port destination de len-tte TCP !
4. en ralit, le routeur ne filtre que sur le port source !
5. la seule manire est de filtrer les requtes et pas les rponses. La solution du 1. ne marche
en fait pas du tout !
2.

Exercice 7 :
(1) Nimporte qui peut atteindre le port TCP 80 du serveur web 200.1.1.14
(2) Nimporte qui peut atteindre le port UDP 53 du serveur DNS 200.1.1.13
(3) La premire commande autorise nimporte qui envoyer un email sur le port TCP 25 du
serveur SMTP 200.1.1.12.
La deuxime commande autorise le serveur SMTP interne envoyer des email
lextrieur et recevoir les rponses
(4) Nimporte qui peut atteindre le port TCP 21 du serveur FTP 200.1.1.11
(5) Permet aux internautes dutiliser le port FTP DATA (20) du serveur FTP 200.1.1.11.
Remarque : on autorise les connexions sur le port 20, sans vrifier quil y a une connexion
de contrle sur le port 21 qui lui correspond. Cest un risque pour la scurit. Pour viter
cela, il faudrait utiliser le CBAC.
(6) Autorise les rponses des serveurs WWW externes. Loption established oblige le routeur
tenir compte des informations de session de TCP.
(7) Autorise les rponses des serveurs DNS externes
(8) Facultatif, permet de voir le nombre de fois que cette ligne est utilise en faisant show ip
access-list 100
Exercice 8 :
Il faut 2 ACLs : une ct Internet en entre, une en entre du rseau interne
access-list 100 deny ip any 200.1.2.10 0.0.0.1
(1) on interdit tout le trafic Internet datteindre le serveur email interne et le serveur
dauthentification ; lien avec (5) et (6)
access-list 100 permit tcp any host 200.1.1.11 eq 80
(2) accs au serveur WEB
access-list 100 permit tcp any host 200.1.1.10 eq 25
(3) accs au serveur SMTP
access-list 100 permit tcp any eq 25 host 200.1.1.10 established
(4) autorisation des rponses aux mails envoys par 200.1.1.10 aux serveurs emails
externes
access-list 100 permit tcp any 200.1.2.0 0.0.0.255 established
(5) on laisse passer les rponses aux requtes des utilisateurs internes (sauf destination
du serveur mail interne et du serveur dauthentification, bloques par (1))
access-list 100 permit udp any eq 53 200.1.2.0 0.0.0.255
(6) autorise les rponses DNS cers les utilisateurs internes (utile car DNS utilise UDP et
nest donc pas concern par (5))
access-list 100 deny ip any any

interface ethernet 1
ip access-group 100 in
access-list 101 deny ip any host 200.1.2.11
(7) rien ne passe vers le serveur dauthentification
access-list 101 permit tcp any 200.1.2.0 0.0.0.255 established
(8) on laisse passer les rponses aux requtes des utilisateurs internes, utile car on coupe
le trafic qui pourrait venir de la DMZ
access-list 101 permit udp any eq 53 200.1.2.0 0.0.0.255
(9) on autorise les rponses DNS
access-list 101 permit tcp host 200.1.1.10 host 200.1.2.10 eq 25
(10)
autorise le serveur SMTP externe accder au serveur SMTP interne
access-list 101 permit tcp host 200.1.1.10 eq 25 host 200.1.2.10 established
(11)
autorise le serveur SMTP externe rpondre au serveur SMTP interne
access-list 101 deny ip any any
interface ethernet 0
ip access-group 101 out