Cisco – Les ACL
février 24, 2015 11:30 Laissez vos commentairesACL : Access Control List
Une ACL permet de vérifier le flux traversant un routeur. Elle peut également permettre de restreindre l’accès aux lignes virtuelles (vty). Elle se définie comme une collection séquentielle d’instructions vérifiant des paramètres d’entête (ip, port…) pour aboutir à une refus ou à une autorisation.
Une ACL est configurée en conf globale puis appliquée sur une interface dans pour un sens de trafic. (Attention, une seule ACL par portocole routé et pas sens (IP, AppleTALK…)
Une ACL se décline du plus précis au plus globale puis se termine par un deny any implicite.
Les types d’ACL
Les ACL Standard (de 1 à 99)
Elles vérifient l’IP source uniquement.
Exemple :
Router(config)#access-list 1 permit 192.168.1.0 0.0.0.255
Dans cet exemple nous créons une ACL (numéro 1) qui autorise le réseau 192.168.1.0. Il faut saisir le Wilcard et non le masque de sous réseau. (wilcard = 255.255.255.255 – masque de sous réseau, voir article correspondant :
Cisco – Le Wilcard).
Nous appliquons ensuite cette ACL à l’interface fa0/0 :
Router(config)#int fa0/0 Router(config-if)#ip access-group 1 out
Les ACL étendues (de 100 à 199)
Elles vérifient l’IP source, l’IP de destination, le protocole, les ports (pour les protocoles tcp et udp).
Exemples de ports utilisés fréquemment :
|Nom|Protocole|Numéro port|
|FTP|TCP|20/21|
|SSH|TCP|22|
|Telnet|TCP|23|
|SMTP|TCP|25|
|DNS|TCP/UDP|53|
|TFTP|UDP|69|
|HTTP|TCP|80|
|POP3|TCP|110|
|IMAP|TCP|143|
Opérateurs :
|égal|eq|
|non égal|neq|
|supérieur|gt|
|inférieur|lt|
Exemples :
Le poste 192.168.0.1 a accès sans restriction au réseau 192.168.10.0/24
Router(config)#access-list 100 permit ip host 192.168.0.1 192.168.10.0 0.0.0.255
Les postes de 192.168.0.32 à 192.168.0.47 ont accès au poste 192.168.1.200 en http
router-dev(config)#access-list 100 permit tcp 192.168.0.32 0.0.0.15 host 192.168.1.200 eq 80
Les flux du réseau 192.168.0.0/24 sont bloqués vers le réseau 192.168.1.0/24
router-dev(config)#access-list 100 deny ip 192.168.0.0 0.0.0.255 192.168.1.0 0.0.0.255
Le réseau 192.168.0.0/24 peut accéder à tous les réseaux
router-dev(config)#access-list 100 permit ip 192.168.0.0 0.0.0.255 any
router-dev(config)#int fa0/0 router-dev(config-if)#ip access-group 100 in
Les ACL nommées
Elles sont définies par un nom plutôt que par un numéro, elles peuvent être standard ou étendues.
Router(config)#ip access-list extended test Router(config-ext-nacl)#
ACL et connections Telnet et SSH
Autorisation de l’IP 192.168.1.1 uniquement :
router-dev(config)#access-list 2 permit host 192.168.1.1 router-dev(config)#access-list 2 deny any router-dev(config)#line vty 0 4 router-dev(config-line)#access-class 2 in
Classés dans :Cisco
Cet article a été écrit par admin