Informatique-sio

Forum de contribution SISR/SLAM, soyons soudés.


    Règles-ACL

    Partagez
    avatar
    Admin
    Admin

    Messages : 169
    Date d'inscription : 19/09/2014
    Localisation : Quelque part

    Règles-ACL

    Message par Admin le Dim 9 Nov - 21:50

    ACL : Access Control List, liste de contrôle d'accès, désigne deux choses en sécurité informatique :

    -un système permettant de faire une gestion plus fine des droits d'accès aux fichiers que ne le permet la méthode employée par les systèmes UNIX.
    -en réseau, une liste des adresses et ports autorisés (permit) ou interdits (deny) par un pare-feu.
    Une ACL sur un pare-feu ou un routeur filtrant, est une liste d'adresses ou de ports autorisés ou interdits par le dispositif de filtrage.

    Nous aborderons les acl en réseau :
    Plus de détail ici et ici.

    A quoi sert une règle ACL ?

    Elle permettent de filtrer des packets suivant des critères définis par l'utilisateur.
    Ce qui rend possible de filtrer des paquets entrants ou sortant d'un routeur en fonction de l'IP source ou de l'IP destination.

    Les Access Control List sont divisés en trois grandes catégories, l'ACL standard, l'ACL étendue et la nommée-étendue.

    -Standard : uniquement sur les IP sources
    Elle ne peut contrôler que deux ensembles : l'adresse IP source et une partie de l'adresse IP source, au moyen de masque générique.
    -Etendue : sur quasiment tous les des en-têtes IP, TCP et UDP
    L'ACL étendue peut contrôler l'adresse IP de destination, la partie de l'adresse de destination (masque générique), le type de protocole (TCP, UDP, ICMP, IGRP, IGMP, etc.), le port source et de destination, les flux TCP, IP TOS (Type of service) ainsi que les priorités IP.
    -L'ACL nommée-étendue est une ACL étendue à laquelle on a affecté un nom.

    TypeRange
    IP Standard1–99
    IP Extended100–199
    IP Standard Expanded Range1300–1999
    IP Extended Expanded Range2000–2699


    The command for configuring a standard access list is as follows:

    Router(config)# access-list {1-99} {permit | deny} source-addr [source-mask]

    When the access list has been created, you need to apply it to the appropriate interface. The command to apply the access list is as follows:

    Router(config-if)# ip access-group {number | name [in | out] }

    To configure extended access lists, the command is similar to standard access list, but with more options. The command is this:

    Router(config)# access-list {100-199} {permit | deny} protocol source-addr [source-
    mask] [operator operand] destination-addr [destination-mask] [operator operand]
    [established]

    Spoiler:
    Par exemple tu souhaite laisser passer les paquets IP et ICMP d'un VLAN a un autre voici sur du cisco les commandes (a voir pour du 3Com)

    Routeur(config)#access-list [Numero d'ACL etendue ou pas] [permit ou deny] ip [adresse du reseau ou de la machine source] [adresse du reseau ou de la machine destination]
    Routeur(config)#access-list [Numero d'ACL etendue ou pas] [permit ou deny] icmp [adresse du reseau ou de la machine source] [adresse du reseau ou de la machine destination]

    concretement:

    Routeur(config)#access-list 100 permit ip 192.168.1.0 0.0.0.255 172.16.0.0 0.0.255.255
    Routeur(config)#access-list 100 permit icmp 192.168.1.0 0.0.0.255 172.16.0.0 0.0.255.255

    ensuite tu vas sur l'interface vlan du reseau source pour l appliquer :
    Routeur(config-if)#ip access-group 100 [in ou out en fonction des besoins]

    et de même sur l'interface vlan du reseau de destination mais il faudra inverser les adresse sources et destination
    concretement:

    Routeur(config)#access-list 100 permit ip 172.16.0.0 0.0.255.255 192.168.0.0 0.0.0.255
    Routeur(config)#access-list 100 permit icmp 172.16.0.0 0.0.255.255 192.168.0.0 0.0.0.255

    Pour Aller plus loin dans les ACL.
    Pour aller plus loin dans les ACL 2.


    Dernière édition par Admin le Mer 12 Nov - 16:13, édité 1 fois

      La date/heure actuelle est Lun 24 Juil - 18:48