Cisco – Les ACL

février 24, 2015 11:30 Publié par Laissez vos commentaires

ACL : Access Control List

Une ACL permet de vérifier le flux traversant un routeur. Elle peut également permettre de restreindre l’accès aux lignes virtuelles (vty). Elle se définie comme une collection séquentielle d’instructions vérifiant des paramètres d’entête (ip, port…) pour aboutir à une refus ou à une autorisation.

Une ACL est configurée en conf globale puis appliquée sur une interface dans pour un sens de trafic. (Attention, une seule ACL par portocole routé et pas sens (IP, AppleTALK…)

Une ACL se décline du plus précis au plus globale puis se termine par un deny any implicite.

Les types d’ACL

Les ACL Standard (de 1 à 99)

Elles vérifient l’IP source uniquement.

Exemple :

Router(config)#access-list 1 permit 192.168.1.0 0.0.0.255

Dans cet exemple nous créons une ACL (numéro 1) qui autorise le réseau 192.168.1.0. Il faut saisir le Wilcard et non le masque de sous réseau. (wilcard = 255.255.255.255 – masque de sous réseau, voir article correspondant :
Cisco – Le Wilcard).
Nous appliquons ensuite cette ACL à l’interface fa0/0 :

Router(config)#int fa0/0
Router(config-if)#ip access-group 1 out

Les ACL étendues (de 100 à 199)

Elles vérifient l’IP source, l’IP de destination, le protocole, les ports (pour les protocoles tcp et udp).
Exemples de ports utilisés fréquemment :
|Nom|Protocole|Numéro port|
|FTP|TCP|20/21|
|SSH|TCP|22|
|Telnet|TCP|23|
|SMTP|TCP|25|
|DNS|TCP/UDP|53|
|TFTP|UDP|69|
|HTTP|TCP|80|
|POP3|TCP|110|
|IMAP|TCP|143|

Opérateurs :
|égal|eq|
|non égal|neq|
|supérieur|gt|
|inférieur|lt|

Exemples :
Le poste 192.168.0.1 a accès sans restriction au réseau 192.168.10.0/24

Router(config)#access-list 100 permit ip host 192.168.0.1 192.168.10.0 0.0.0.255

Les postes de 192.168.0.32 à 192.168.0.47 ont accès au poste 192.168.1.200 en http

router-dev(config)#access-list 100 permit tcp 192.168.0.32 0.0.0.15 host 192.168.1.200 eq 80

Les flux du réseau 192.168.0.0/24 sont bloqués vers le réseau 192.168.1.0/24

router-dev(config)#access-list 100 deny ip 192.168.0.0 0.0.0.255 192.168.1.0 0.0.0.255

Le réseau 192.168.0.0/24 peut accéder à tous les réseaux

router-dev(config)#access-list 100 permit ip 192.168.0.0 0.0.0.255 any
router-dev(config)#int fa0/0
router-dev(config-if)#ip access-group 100 in

Les ACL nommées

Elles sont définies par un nom plutôt que par un numéro, elles peuvent être standard ou étendues.

Router(config)#ip access-list extended test
Router(config-ext-nacl)#

ACL et connections Telnet et SSH

Autorisation de l’IP 192.168.1.1 uniquement :

router-dev(config)#access-list 2 permit host 192.168.1.1
router-dev(config)#access-list 2 deny any
router-dev(config)#line vty 0 4
router-dev(config-line)#access-class 2 in

Classés dans :

Cet article a été écrit par admin

Laisser un commentaire