Outils pour utilisateurs

Outils du site


reseau:cisco:cours:cours_acl

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

reseau:cisco:cours:cours_acl [2026/03/10 20:15] – créée ewenreseau:cisco:cours:cours_acl [2026/03/18 17:02] (Version actuelle) ewen
Ligne 163: Ligne 163:
 | ''eq 3389'' | 3389 | RDP | | ''eq 3389'' | 3389 | RDP |
  
-===== 9. Modifier une ACL nommée =====+===== 9. Cas Pratique : Protéger un VLAN Admin (Trafic de retour) ===== 
 + 
 +**Objectif :** Le VLAN 20 (IT / Admin) doit pouvoir accéder à tous les autres VLANs de l'entreprise, mais aucun autre VLAN ne doit pouvoir initier une connexion vers le VLAN IT. 
 + 
 +**Le piège du routeur "Stateless" :** 
 +Contrairement à un pare-feu moderne, un routeur classique avec des ACL ne garde pas en mémoire l'état des connexions (il est "stateless"). Si l'administrateur lance un ping vers le VLAN USERS, le routeur laisse passer l'aller. Mais quand le PC USERS répond, le routeur voit cela comme un nouveau trafic. Si on bloque bêtement tout le trafic provenant de USERS vers IT, la réponse sera détruite et le ping échouera. 
 + 
 + 
 + 
 +**La solution :** 
 +Il faut utiliser une ACL Étendue avec les arguments ''established'' (pour les sessions TCP déjà ouvertes par l'Admin) et ''echo-reply'' (pour les réponses aux pings de l'Admin). 
 + 
 +Placement : Sur l'interface du VLAN IT (VLAN 20), en direction **out** (le trafic qui redescend du routeur vers les PC IT). 
 + 
 +<code> 
 +ROUTEUR(config)# ip access-list extended PROTECT-IT 
 +! 1. Autoriser les réponses de ping (retour) 
 +ROUTEUR(config-ext-nacl)# permit icmp any 192.168.20.0 0.0.0.255 echo-reply 
 + 
 +! 2. Autoriser le trafic TCP de retour (navigation web, SSH, etc. initiés par l'IT) 
 +ROUTEUR(config-ext-nacl)# permit tcp any 192.168.20.0 0.0.0.255 established 
 + 
 +! 3. Bloquer toute nouvelle requête provenant des autres VLANs (USERS et SERVEURS) 
 +ROUTEUR(config-ext-nacl)# deny ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255 
 +ROUTEUR(config-ext-nacl)# deny ip 192.168.30.0 0.0.0.255 192.168.20.0 0.0.0.255 
 + 
 +! 4. Autoriser le reste du trafic au besoin 
 +ROUTEUR(config-ext-nacl)# permit ip any any 
 + 
 +ROUTEUR(config)# interface GigabitEthernet0/0.20 
 +ROUTEUR(config-subif)# ip access-group PROTECT-IT out 
 +</code> 
 + 
 +===== 10. Modifier une ACL nommée =====
  
 Avec les ACL nommées, on peut supprimer une règle précise sans tout recréer : Avec les ACL nommées, on peut supprimer une règle précise sans tout recréer :
Ligne 179: Ligne 212:
 </code> </code>
  
-===== 10. Vérification =====+===== 11. Vérification =====
  
 <code> <code>
Ligne 192: Ligne 225:
 </note> </note>
  
-===== 11. Points clés à retenir =====+===== 12. Points clés à retenir =====
  
   * Les règles sont lues **dans l'ordre** — l'ordre de saisie est important   * Les règles sont lues **dans l'ordre** — l'ordre de saisie est important
reseau/cisco/cours/cours_acl.txt · Dernière modification : de ewen