Vous êtes sur la page 1sur 16

LES ACCESS LIST

Ralis par Mohammed MOUITI


Encadr par M.A.EL KIRAM

1
Sommaire
1- Comment a marche?
2- Syntaxe
3- Types dACL
4- Placement dune ACL
5- Conclusion

2
ACL : quoi cela sert-il ?

*Cest loutil de base pour le filtrage des


paquets IP (niveau 3)
*Interdire certaines actions certains
utilisateurs
*Une ACL indique au routeur quels sont les
paquets quil doit accepter ou refuser

contrle du trafic (seuls les paquets


autoriss circulent) 3
amlioration de la performance du rseau
(limitation du trafic)
ACL : comment a marche ?

Une ACL est une collection squentielle d'instructions


d'acceptation ou d'interdiction qui s'applique
aux adresses IP
aux protocoles de couche suprieure

Une ACL sapplique une interface oriente dun


routeur

ACL

4
*Sur une interface, on peut mettre
deux ACL :
une en entre
une en sortie

5
Lordre des instructions qui composent les ACL est trs important
Pour chaque paquet, les instructions de lACL sont scrutes dans
lordre o elles ont t crites
Ds que le paquet correspond lune des instructions de lACL, la
dcision est prise en fonction de cette instruction, et les suivantes
ne sont pas consultes
Puisque le routeur doit savoir quoi faire pour tous les paquets
possibles, toutes les ACL doivent se terminer par une instruction
du genre :
Dans tous les autres cas faire
Une ACL incomplte se termine par dfaut par deny any

6
Deux temps :
Identification du ou des flux (dfinition de
lACL)
access-list
Application des rgles une interface
(application de lACL)
access-group
Ces instructions ont des paramtres :
access-list numro ; action ; qui est concern
access-group quelle access-list ; dans quel sens

7
ACL : syntaxe (Cisco)

Application dune liste

Rio(config)# interface fastethernet 0/0


Rio(config-if)# ip access-group ?
<1-199> IP access list (standard or extended)
<1300-2699> IP expanded access list (standard or extended)
WORD Access-list name
Rio(config-if)# ip access-group 10 ?
in inbound packets
out outbound packets Vu de lintrieur du routeur
8
Types dACL
Il existe deux familles dACL :
les ACL standards qui ne vrifient que
ladresse IP source du paquet filtr
les ACL tendues qui vrifient :
ladresse IP source
ladresse IP destination
le protocole de niveau 3 ou 4
le numro de port

9
ACL standard

Rio(config)# access-list 50 deny 172.16.1.1


Rio(config)# access-list 50 permit 172.16.0.0 0.0.255.255

Nombre compris entre 1 et 99, Pas de masque


Refuser Masque
ou entre 1300 et1999 (IOS recent) gnrique : par
ou gnrique
cest une ACL standard dfaut 0.0.0.0
autoriser

10
Placement dune ACL standard

les ACLs standard ne portent pas mention de la destination


Il faut donc les placer le plus prs possible de la destination
Dans lexemple ci-dessous, que se passe-t-il pour tout le trafic
IP si on place un deny 192.5.5.0 0.0.0.255 sur linterface E0
en entre de Lab-A ?
Que se passe-t-il si on place ce deny 192.5.5.0 0.0.0.255 sur
linterface E0 en sortie de Lab-D ?

11
ACL tendue
eq : equal
gt : greater than
lt : less than
neg : different

Protocole Source Destination Port


1. access-list 101 permit ip host 10.0.0.1 any
2. access-list 101 deny ip 10.0.0.0 0.0.0.255 any
3. access-list 101 deny tcp host 172.16.6.1 192.168.1.0 0.0.0.255 eq 23
4. access-list 101 permit tcp 172.16.6.0 0.0.0.255 any eq telnet
1. autorise tout le trafic IP venant de lhte 10.0.0.1, quelle que soit la destination
2. refuse le trafic venant du rseau 10.0.0.0/24, quelle que soit la destination
3. interdit lhte 172.16.6.1 (only) laccs telnet au rseau 192.168.1.0/24
4. autorise tous les htes du rseau 172.16.6.0/24 utiliser telnet vers tous les rseaux

12
Placement dune ACL tendue

les ACLs tendues portent la mention de la destination


Il faut donc les placer le plus prs possible de la source
Dans lexemple ci-dessous, on veut interdire laccs au
serveur 198.150.13.34 depuis le rseau 221.23.123.0 :
il faut crire lACL sur le routeur C, lappliquer E0 en entre

13
Donner un nom une ACL
Les ACL nommes sont apparues partir de la
version 11.2 des IOS cisco. Les avantages sont :
identification intuitive des ACL, un nom est plus parlant quun
simple numro
possibilit de modifier lACL, sans avoir dabord la dtruire
puis la reconstruire (on peut enlever nimporte quelle ligne,
mais on ne peut cependant en ajouter une qu la fin de la
liste)
au moment de la dfinition dune lACL nomme, le prompt
change, et il nest plus ncessaire de taper access-list et de
rappeler le numro dACL chaque entreNom explicite choisi par
Standard ou Extended ladministrateur

Rio(config)# ip access-list extended Server-Access


Rio(config-ext-nacl)#permit tcp any host 10.0.0.2 eq smtp
Rio(config-ext-nacl)# permit udp any host 10.0.0.2 eq 53
Rio(config-ext-nacl)# [Control + Z]
Rio(config)# interface f 0/0
Rio(config-if)# ip access-group Server-Access
14
out
Proposition darchitecture

Pour soulager le firewall, on peut confier les ACL


un routeur plac en tte de rseau

External
Internal

Web
ACL Server

Firewall DMZ
FTP 15
Server
Conclusion

Les ACL permettent de nautoriser que le trafic utile


Deux stratgies :
tout autoriser, puis ninterdire que ce qui est inutile
tout interdire, puis nautoriser que ce qui est utile

il faut spcifier les rgles de filtrage de la plus spcifique


la plus gnrale
toutes les ACL se terminent par un deny ip any any implicite
quand une rgle applicable est trouve, les autres ne sont
pas testes
Les ACLs tendues sont prfrer car elles vitent la
propagation au del du premier routeur des paquets qui sont
filtrer
16