Ralis Par : Encadr Par :

Hamza M. El Hachlaf
Bahhou
Plan :
I. Introduction
II. Dfnitions des Listes de Contrle daccs
(ACL)
III.Fonctionnement des ACL
IV. Avantages et Inconvnients des ACL.
V. Masque Gnrique dans un liste de contrle
daccs
VI.Les Types Des Liste De Contrle daccs
1. Liste de Contrle daccs Standard
2. Liste de Contrle daccs tendue
Introductio
n:

Lobjectif principal dun Administrateur rseau est de rendre

possible les communications TCP/IP entre diffrents systmes.
Seulement voil, il ne faut pas oublier que ces changes doivent
pouvoir se faire en prenant en compte les problmatiques de
scurit. Il sagit alors dun objectif supplmentaire assign
lAdministrateur rseau: garantir la scurisation des changes.
Cette scurisation consiste dans un premier temps autoriser
certaines communications et en interdire dautres. Cest partir de
l o notre Administrateur devra utiliser un outil intgr dans
lIOS: les listes de contrle daccs ou ACL (Access Control List).
Qu'est-ce qu'une liste de contrle d
Les listes de contrle d'accs (ou ACL) sont des sries de
commandes et des instructions sont qui expriment une liste de rgles,
squentielles et logiques, impos par l'Administrateur Rseau sur un
Routeur donnant un contrle Additionnel (C'est le Filtrage) sur les
paquets reus ou transmis.
Avec les ACL, l'administrateur rseau pourra interdire [Deny] ou
autoriser [Permit] des paquets que ce soit en Entre [In] ou en Sortie
[Out] d'un routeur.
 Pourquoi utiliser une Liste de Contrle dAccs

Une liste d'accs est un mcanisme d'identification de trafic

particulier. Une des applications d'une liste d'accs est de filtrer le
trafic entrant ou sortant d'une interface de routeur.
Fonctionnement dune liste de contrle
d'accs
Le technologie?noyau de ralisation ACL est filtrage de paquets :
Le filtrage des paquets: parfois appel filtrage statique des paquets,
contrle l'accs un rseau en analysant les paquets entrants et
sortants et en les transmettant ou en rejetant selon des critres
spcifiques, tels que l'adresse IP source, les adresses IP de
destination et le protocole transport dans le paquet.
 Comment fonctionne une liste d'a

1- Recherche de
correspondance (examen de
chaque paquet)

2- Action (deny ou permit)

3- Si pas de correspondance,
instruction suivante.

4- Si aucune
correspondance, l'instruction
implicite est applique
Le filtrage des paquets peut fonctionner sur diffrentes couches du
modle OSI ou sur la couche Internet du modle TCP/IP. Mais
Comment a Marche ?

La liste de contrle d'accs extrait les informations suivantes de l'en-

tte de paquet de couche 3. (Couche rseau)

Adresse IP source , Adresse IP de destination , Type de message

ICMP.

Un routeur peut galement effectuer le filtrage des paquets au

niveau de la couche 4. (Couche transport)

La liste de contrle d'accs peut extrait des informations de couche

suprieure partir de l'en-tte de couche 4, notamment:

Port source TCP/UDP , Port de destination TCP/UDP

 Avantage dune liste de contrle d
Amlioration de la performance du rseau ( Limitation du trafic ).

Contrler le flux de trafic ( Seuls les paquets autoriss circulent ).

Fournir un niveau de scurit de base pour l'accs rseau.

Filtrer certains htes afin de leur accorder ou de leur refuser l'accs

une section de rseau.

Dterminer le type de trafic qui sera achemin ou bloqu au niveau

des interfaces de routeur.

Autoriser un administrateur contrler les zones auxquelles un

client peut accder su un rseau.
Inconvnient dune liste de contrle
Lutilisation des listes de contrle daccs peut engendrer
des problmes :

La charge supplmentaire sur le routeur dcoulant de la vrification

de tous les paquets rduit le temps disponible pour le transfert de ces
paquets.

Des listes de contrle daccs mal conues augmentent encore plus

la charge sur le routeur, pouvant provoquer une interruption du rseau.

Des listes de contrle daccs mal positionnes peuvent bloquer le

trafic qui devrait tre autoris et autoriser le trafic qui devrait tre
bloqu.
 Masques Gnrique dans les listes de
contrle daccs
Les masques gnriques utilisent les chiffres binaires 1 et 0 pour
filtrer des adresses IP ou des groupes d'adresses IP, afin d'autoriser
ou de refuser l'accs aux ressources.

Bit 0 de masque gnrique: permet de vrifier la valeur du bit

correspondant dans l'adresse.
Bit 1 de masque gnrique : permet d'ignorer la valeur du bit
correspondant dans l'adresse.
Adresse de rfrence : 10.1.1.0
Masque gnrique : 0.0.0.255
Adresse de rfrence (binaire) : 00001010. 00000001. 00000001.00000000
Masque gnrique (binaire) : 00000000. 00000000. 00000000.11111111

On peut remarquer que les trois premiers octets de l'adresse de

rfrence doivent correspondre. La valeur du dernier octet n'a pas
d'importance.
 Calculer le masque
gnrique:
La mthode la plus rapide consiste soustraire le masque de sous-
rseau de 255.255.255.255

Exemple : Supposons que vous souhaitiez autoriser un sous-rseau

192.168.3.32/28 accder au rseau. Le masque du
sous-rseau IP est 255.255.255.240. Nous utilisons donc
255.255.255.255 et y soustrayons le masque de sous-
rseau.

Cette solution gnre le masque gnrique 0.0.0.15

Exemple 2:

Je m'intresse seulement aux machines 1 7 du rseau 172.16.1.0/24

dont les adresses IP sont respectivement 172.16.1.1 jusqu'172.16.1.7

Adresse 1: 172.16.1.1 = 1010 1100.0001 0000.0000 0001.0000

0001
Adresse 2: 172.16.1.7 = 1010 1100.0001 0000.0000 0001.0000
0111

Masque
Gnrique:
Le masque gnrique = 0000est0000.0000
donc: 0000.0000 0000
0000 0111
0.0.0.7
Le masque gnrique dans ce cas doit vrifier deux aspects:
l'appartenance la classe rseau.
les 5 premiers bits du dernier octet sont nuls.
 Les Mots-cls de masque gnrique
"host" et "any":
Le mot-cl host remplace le masque 0.0.0.0. Ce masque indique que
tous les bits de l'adresse IPv4 doivent correspondre ou qu'un seul
hte est conforme.
Exemple :

192.168.10.10 0.0.0.0 = host 192.168.10.10

Le mot-cl any remplace l'adresse IP et le masque 255.255.255.255.

Ce masque indique qu'il convient d'ignorer l'intgralit de l'adresse
IPv4 ou d'accepter n'importe quelle adresse.
Exemple :

0.0.0.0 255.255.255.255 = Any

Les Types Des listes de contrle daccs
Il existe deux types basiques de listes de contrle d'accs:

ACL Standard (Numrote).

ACL tendue (Numrote).

On trouve Aussi un autre Type qui s'applique sur les deux:

ACL nomme (Peut tre de type standard ou tendue)

Note : Les listes de contrle d'accs numrotes sont pratiques pour

dterminer le type de liste sur des rseaux de petite taille dont la
dfinition du trafic est plus homogne. Toutefois, le numro
n'indique pas la fonction d'une liste de contrle d'accs. C'est
pourquoi, depuis la version 11.2 de Cisco IOS, vous pouvez utiliser
un nom pour identifier une liste de contrle d'accs Cisco.
 Listes de Contrle d'accs Standard:
Les listes de contrle d'accs standard peuvent tre utilises pour
autoriser ou refuser le trafic uniquement depuis des adresses IPv4
source.
Le filtrage est bas seulement sur ladresse IPv4 source des paquets
IP (aucun contrle des adresses IP destination, ni des numros de port
UDP ou TCP).
Chaque liste est identifie par un nombre compris entre 1 et 99 ou
entre 1300 en 1999.
En Rsum :
Filtrage total ( autorise tout / bloquer tout ).
La Destination doit tre un rseaux.
Le numro de la liste de 1 jusqu 99
Le rseaux de destination n'est pas spcifier dans la configuration.
 Emplacement dune listes de contrle
daccs Standard
Les listes de contrle d'accs standard ne prcisent pas les adresses de
destination, placez-les le plus prs possible de la destination. Le fait
de placer une liste de contrle d'accs standard la source du trafic
empche efficacement ce trafic d'accder tous les autres rseaux via
l'interface laquelle la liste est applique.

Destinati
on
 La Confguration dune liste de contrle
daccs
La configuration dune Standard
liste de contrle daccs standard se fait en 2
tapes:
Crer la liste de contrle d'accs en mode de configuration globale.
Affecter cette ACL une interface
tape 1: Cration de La Liste de Contrle d'accs standard :
Router(confg)# Access-list <acl-number>
{ permit | deny | remark}
<Source-address> <wildcard-mask> [Log]

Acl-number: Numro de la liste de contrle d'accs.

Permit: Autorise l'accs si les conditions Sont respectes.
Deny: Refuse l'accs si les conditions Sont respectes.
Remark: Ajoute un remarque propos des instructions ACL pour plus
de lisibilit.
Source-address: Adresse du rseau ou d'hte d'o provient le
paquet.
 tape 2: Affecter La liste de contrle daccs une interface

Slectionner une interface laquelle on va appliqu l'ACL:

Router(config)# Interface Fast0/0 | Se0/0 | Eth0/0

Activer l'ACL existante sur l'interface :

Router(config-if)# ip access-group <acl-number> [ IN | OUT ]

Pour Supprimer une ACL Standard numrote:

R1(config)# no access-list <acl-number>
Pour Dsactiver une ACL sur une interface:
R1(config-if)#no ip access-group <acl-number> in | out

Remarque: Si vous avez l'intention de supprimer une ligne spcifique

d'une liste de contrle d'accs numrote qui existe, toute la liste est
supprime.
 Les deux paramtres In et Out
Il Faut dabord connatre que :
Les paquets entrantes: sont traits avant d'tre routs vers
l'interface de sortie.
Les paquets sortantes: sont achemins vers l'interface de sortie,
puis traits par le biais de la liste de contrle d'accs sortante.

Ces deux Paramtres sont Appliques sur les interfaces du Routeur:

Le paramtre In (vers le routeur) ou Out (vers le rseau) se place
sur linterface laquelle on veut appliquer ACL.

In/Out
Internet

E0 R o u te r
S0
Une fois que vous avez cr la liste de contrle daccs, vous devez
lappliquer une interface pour quelle devienne active. La liste de
contrle daccs traite le trafic en entre ou en sortie de linterface.

Trafique Entrant ou Sortant in/out :

 Exemples des Acl Standard:

Autoriser uniquement le trafic provenant de A sur B

RB(config)# access-list 20 permit 172.16.1.0 0.0.0.255

RB(config)# interface Ethernet 0/0
RB(config-if)# ip access-group 20 out
1. On veut interdire le hte dont l'adresse IP est : 192.168.10.120

Router(config)# access-list 1 deny 192.168.10.120 0.0.0.0

Ou :
Router(config)# access-list 1 deny host 192.168.10.120

2. On veut Autoriser le rseau dont l'adresse IP est: 192.168.10.0

avec le masque 255.255.255.0
Router(config)# access-list 1 Permit 192.168.10.0 0.0.0.255

3. On veut interdire le sous-rseau dont l'adresse IP est :

192.168.10.8 avec le masque 255.255.255.248

Router(config)# access-list 1 deny 192.168.10.8 0.0.0.7

4. On veut Autoriser les sous-rseaux dont les adresses IP vont de:
172.16.16.0 172.16.48.0 avec un masque gal 255.255.240.0

Router(config)# access-list 1 permit 172.16.16.0 0.0.63.255

5. On veut interdire les sous-rseaux dont les adresses IP vont de :

192.168.10.8 192.168.10.56 avec un masque gal 255.255.255.240

Router(config)# access-list 1 deny 192.168.10.0 0.0.0.63

6. On veut bloqu laccs vers 172.16.0.0 depuis 192.168.1.100

Router# configure terminal
Router (config)# access liste 1 deny 192.168.1.100 0.0.0.0
Router (config)# access list 1 permit any
Router (config)# interface f0/0
Router (config-inter)# ip access-group 1 Out
Confguration d'une ACL standard pour scuriser
unleport
Pour utiliser une ACL dans but deVTY
contrler l'accs au telnet (donc
au vty), On utilise la commande: Access-class number { in | out }
Router(config)# access-List 5 permit host 192.168.1.1
Router(config)# access-List 5 deny any
Router(config)#line vty 0 4
Router(config-line)#password Cisco
Router(config-line)#login
Router(config-line)#access-class 5 in
Seules des listes de contrle d'accs numrotes peuvent tre
appliques aux lignes VTY.
Remarque: Une ACL non finie se termine toujours par deny any,
pour refuser tous les paquets qui ne rpondent aucune rgle de
l'ACL et ainsi couvrir tous les cas possibles. Cette instruction est
automatiquement ajoute la fin de chaque liste de contrle d'accs,
mme si elle n'est pas physiquement prsente.
 Listes de Contrle d'accs tendues
Les listes daccs tendues sont utilises plus souvent que les listes
daccs standard car elles fournissent une plus grande gamme de contrle

Les listes de contrle d'accs tendues filtrent les paquets IPv4 en

fonction de diffrents critres :
> Type de protocole > Adresse IPv4 source
> Adresse IPv4 de destination > Ports TCP ou UDP source
> Ports TCP ou UDP de destination

Chaque Liste de contrle daccs tendue identifie par un nombre

compris entre 100 199 et 2000 2699.
Adresse
Port TCP Source

Adresse
Type de Destination
protocole
 Emplacement dune listes de contrle
La rgle de base pourdaccs
le placementtendue
des listes de contrle d'accs
tendues consiste les placer aussi prs que possible de la source.
Cela empche le trafic indsirable d'tre envoy sur plusieurs rseaux
pour tre finalement refus lorsqu'il atteint sa destination.
La Confguration dune liste de contrle
daccs
tape 1: Cration de La Listetendue
de Contrle d'accs standard :

Router(confg)# Access- list [Num-ACL ] [ deny |

permit | remark ] [ Protocole (IP,TCP,UDP,ICMP..)
] [ Adresse source ] [ Masque gnrique-
Source ] oprateur [Num -port | nom-protocole ]
[Adresse destination ] [masque gnrique-
destination] oprateur [ Num-port | Nom-
protocole ] [ Established ]

Established: Pour le Protocole TCP uniquement: indique une

Les protocoles Importantes , leurs type et
numro de port Type de Protocole
Nom de Protocole Numro de Port
HTTP TCP 80
DNS TCP UDP 53
HTTPS TCP 443
TFTP UDP 69
Telnet TCP 23
SSH TCP 22
FTP-data TCP 20
FTP TCP 21
SMTP TCP 25
SNMP UDP 161
DHCP (Client) UDP 68
DHCP (Serveur) UDP 67
PoP3 TCP 110

Remarque : Quand utilise le protocole ICMP et IP le numro de

port nexiste pas .
Les Oprateurs: lt, gt, Eq, neq:
Lt = Lower than : infrieur (tous les port plus petit que)
Gt = Greater than : suprieur (tous les port plus grand
que)
Eq = Equal : Pour gal (tous les port gal )
Neq = Not Equal : Non gal (tous les port diffrent de)
Le : infrieur ou gale (tous les port infrieur ou gal )
ge: suprieur ou gal (tous les port suprieur ou gal )
Range: plage inclusive (dfinit par deux numros de
tape 2: Affecter La liste de contrle daccs une interface
port)
Slectionner une interface laquelle on va appliqu l'ACL:

Router(config)# Interface Fast0/0 | Se0/0 | Eth0/0

Activer l'ACL existante sur l'interface :

Router(config)# ip access-group <acl-number> [ IN | OUT ]

 Pour Supprimer une ACL tendue numrote:
R1(config)# no access-list <acl-number>

Pour Dsactiver une ACL sur une interface:

Router(config)# Interface Fast0/0 | Se0/0 | Eth0/0
R1(config-if)#no ip access-group <acl-number> in | out
 Exemples des Acl tendue:

Refuse tout accs aux membres du rseau 192.168.128.0 vers

toutes les destinations.
Router (config)# access-list 101 deny ip 192.168.128.0 0.0.0.255 any
Router (config)# access-list 101 permit ip any any
Applique les restrictions daccs linterface Fa0/0

Router (config)# interface fa0/0

Router (config-if)# ip access-group 101 out
 Exemples des Acl tendue:
1. On veut autoriser le trafic IP venant du rseau 191.10.1.0
255.255.255.0 destination du rseau 80.8.8.0 255.255.255.0
Router(config)# access-list 111 permit ip 191.10.1.0 0.0.0.255
80.8.8.0 0.0.0.255

2. On veut interdire les messages ICMP de n'importe quelle

source vers toute destination.
Router(config)# access-list 101 deny icmp any any

3. On veut autoriser l'accs Telnet vers le host dont l'adresse IP

est: 192.168.10.140 255.255.255.0 venant du host 200.202.2.2
255.255.255.0

Router(config)# access-list 102 permit tcp host 200.202.2.2 any

host 192.168.10.140 eq 23
4. On veut autoriser les accs DNS sur le host dont l'adresse est
150.150.150.200 255.255.255.0
Router(config)# access-list 101 permit udp any any host
150.150.150.200 eq 53

5. On veut autoriser le trafic IP venant du rseau 191.10.1.0

255.255.255.0 destination du rseau 80.8.8.0 255.255.255.0
Router(config)# access-list 111 permit ip 191.10.1.0 0.0.0.255
80.8.8.0 0.0.0.255

6. Autorise laccs au Web aux postes dsigns (10.1.128.1

10.1.128.254)
Router (config)# access-list 102 permit tcp 10.1.128.0 0.0.0.255
host 10.1.96.0 eq 80
 Listes de Contrle d'accs nommes:
Les listes de contrle daccs nommes IP ont t introduites dans la
plate-forme logicielle Cisco IOS version 11.2, afin dattribuer des
noms aux listes daccs standard et tendues la place des numros.
Si vous attribuez un nom une liste de contrle d'accs, il vous sera
plus facile d'en comprendre la fonction.

Avantage dune liste de contrle daccs

nommes:
Identifier de manire intuitive une liste daccs laide dun nom
alphanumrique.
LIOS ne limite pas le nombre dACL nommes qui peuvent tre
configures.
Les ACL nommes permettent de modifier des listes de contrle
daccs sans avoir les supprimer, puis les reconfigurer.
Il est possible d'ajouter et de supprimer des entres de la liste de
contrle d'accs.
 Quelque rgle respecter sur Les ACLs
Nommes :
Les noms doivent se composer de caractres alphanumriques.
Il est conseill d'crire le nom en MAJUSCULES.
Les noms ne doivent pas contenir d'espaces ni de signes de
ponctuation.
Un mme nom ne peut pas tre utilis pour plusieurs listes de
contrle daccs. Par exemple, il nest pas possible de spcifier la
fois une ACL standard et une ACL tendue nomme TRI .
Il est Possible dajouter et de supprimer des entres de la liste de
contrle daccs Nomme.
 La Confguration dune liste de contrle
Pour unedaccs Nomme
liste de contrle daccs Standard :
1. partir du mode de configuration globale, utilisez la commande ip
access-list pour crer une liste de contrle d'accs nomme :
Router(config)# ip access-list {Standard} Name
2. En mode de configuration des listes de contrle d'accs nommes,
Spcifier une ou plusieurs conditions dterminant si un paquet est
transfr ou abandonn :

Router(config-std-nacl)# { permit | deny | remark} <Source-

address> <wildcard-mask> [Log]

3. Appliquez la liste de contrle d'accs une interface :

Router(config)# Interface Fast0/0 | Se0/0 | Eth0/0

Router(config-if)# ip access-group Name [In | Out]
 Exemple dune ACL Standard Nomme:

Rdigez une liste d'accs standard nomme qui sappelle TRI sur le
routeur1, interface Fa0/0 pour bloquer ordinateur A(@ip=72.16.10.35)
d'envoyer les informations l'ordinateur B; mais permettra tout autre
trafic.

Router# configure terminal

Router(config)# ip access-list standard TRI
Router(config-std-nacl)# deny host 72.16.70.35
Router(config-std-nacl)# permit any
Router(config-std-nacl)# interface Fa0/0
Router(config-if)# ip access-group TRI out
Router(config-if)# exit
Router(config)# exit
 Pour une liste de contrle daccs tendue :
1. partir du mode de configuration globale, utilisez la commande ip
access-list pour crer une liste de contrle d'accs nomme :
Router(config)# ip access-list { Extended } Name
2. En mode de configuration des listes de contrle d'accs nommes,
Spcifier une ou plusieurs conditions dterminant si un paquet est
transfr ou abandonn :
Router(config-ext-nacl)#[ deny | permit | remark ] [ Protocole
(IP,TCP,UDP,ICMP..) ] [ Adresse source ] [ Masque gnrique-
Source ] oprateur [Num -port | nom-protocole ] [Adresse
destination ] [masque gnrique-destination] oprateur [ Num-
port | Nom-protocole ] [ Established ]
3. Appliquez la liste de contrle d'accs une interface :
Router(config)# Interface Fast0/0 | Se0/0 | Eth0/0
Router(config-if)# ip access-group Name [In | Out]
Question :
Crer une ACL Nomme pour :

Bloquer la connexion tcp de client_pc Webserver_A sur le port 80

Autoriser la connexion udp de client_pc Webserver_A port 53
Bloquer la connexion ping de client_pc le rseau 10.0.1.0/24
 Solution :
R1(config)# ip access-list Extended TEST
R1(config-ext-nacl)# deny tcp host 10.0.0.2 host 10.0.1.2 eq 80
R1(config-ext-nacl)# permit udp host 10.0.0.2 host 10.0.1.3 eq 53
R1(config-ext-nacl)# deny icmp host 10.0.0.2 10.0.1.0 0.0.0.255
R1(config-ext-nacl)# exit
R1(config)#interface fa 0/0
R1(config-if)#ip access-group TEST in
R1(config-if)#exit

Pour supprimer une des lignes, il suffit de refaire un :

R1(config)# ip access-list extended TEST

R1(config-ext-nacl)# no deny ip 10.1.1.0 0.0.0.255 any
 Exemple dune Acl tendue Nomme:
Rdigez une liste d'accs tendue nomme qui sappelle filtre sur
le routeur 1, Interface Fa0/0. pour refuser le trafic HTTP destin au
serveur web 192.168.207.27, mais permettra tout autre trafic HTTP
pour atteindre le rseau de 192.168.207.0. Refuser tous les autres
trafics IP.

Router# configure terminal

Router(config)#ip access-list Extended filtre
Router(config-ext-nacl)# deny tcp any host 192.168.207.27 eq80
Router(config-ext-nacl)# permit tcp any 192.168.207.0 0.0.0.255 eq80
Router(config-ext-nacl)# interface e0
Router(config-if)# ip access-group filtre in
Router(config-if)# exit
Router(config)# exit
 Commentaires sur les listes de contrle
d'accs:
Vous pouvez utiliser le mot-cl remark pour intgrer des
commentaires (remarques) sur les entres dans n'importe quelle liste
de contrle d'accs IP standard ou tendue. Ces remarques facilitent
la comprhension et la recherche des listes de contrle d'accs.
Chaque ligne de remarque est limite 100 caractres.

Vrifcation des listes de contrle d'accs:

show ip interface : Permet de vrifier la liste de contrle
d'accs sur l'interface.

show access-lists : Cette commande permet de voir les

diffrentes ACLs ainsi que le nombre de fois o une entre a t
utilise pour les paquets IP.
Exemple de Vrification :
Vrification de linterface:
 ACL1: Crer une ACL permet de :
Autoriser l'accs la configuration a distance des R1 et R2 depuis
la machin Admin : 192.168.2.10
Refuser tous autres trafics
Appliquer Cette ACL.

ACL2: Crer une ACL tendue 110 permet de :

Autoriser le trafic vers le serveur FTP depuis le rseau local de site 1.
Autoriser le trafic vers le serveur DNS depuis le rseau local de site
2
Autoriser le trafic vers le serveur WEB depuis le rseau local de site
1 et site 2.
Autoriser le trafic ICMP vers la Machine Admin depuis le rseau
local de site 1 et site 2.
Bloquer tous autres trafics.
Appliquer cette ACL.
ACL3: Crer une ACL qui s'appelle Internet permet de :
Refuse le Trafic DNS que pour les rseaux locaux vers l'internet.
Refuse le Trafic ICMP que pour les rseaux locaux vers l'internet.
Accepte le trafic HTTP/HTTPs que pour les rseaux locaux vers
l'internet.
Accepte le trafic FTP que pour les rseaux locaux vers l'internet.
Bloquer le trafic IP que pour les rseaux locaux vers l'internet.
Autoriser le trafic IP que pour les rseaux locaux vers l'internet.
Bloquer tous autres trafics.
Appliquer Cette ACL.