Probléme ACL

Nebil · Visiteur Inscrit le: 13 Juil 2002 Messages: 17

salut j'ai configuré un routeur 1000 pour une petite entreprise , j'ai implémenté une stratigie d' ACL pour ne pas me ping de l'externe
(config)#Access-list 101 deny any 193.92.x.x 255.255.255.252
mon probléme c'est que quant je met cette acl , la connxion internet (LS 256M) ne marche plus , il faut alors une no access-list !!!!!!!
y a t il un moyen pour m'aider !!!!!
Merci

Eric ROBIN · Posté le: Lun Nov 17, 2003 11:26 pm Sujet du message:

Essayez avec ces lignes :

access-list 101 deny ip any 193.92.x.x 0.0.0.3
access-list 101 permit ip any any

Cela est sensé donner le résultat que vous cherchez apparemment, mais en corrigeant les 2 erreurs de votre ACL (mauvaise écriture du wildcard-mask et oubli du permit any any).

ROBIN Eric

**********************************
Direction & Responsable du pôle formation
Laboratoire Cisco
Mail : labo-cisco@supinfo.com
Web : http://www.labo-cisco.com
CLTE : http://clte.labo-cisco.com
**********************************

Nebil · Visiteur Inscrit le: 13 Juil 2002 Messages: 17

Salut !
Merci pour cette réponse Smile

alors il y a une faute ds le mask générique , et je l'ai détecté Smile

)
bien , encre plus , j'etais victime d'une attaque de scan port sur l'un de mes serveurs ,et mon but c'est de plus laisser personne , puisse scanner le réseau et les machines !!!!!!!
j'ai fais ca :
acl 101 permit tcp 193.95.x.x 0.0.0.3 any http
acl 101 permit tcp 193.95.x.x 0.0.0.3 any 21
acl 101 permit tcp 193.95.x.x 0.0.0.3 any 20
acl 101 permit tcp 193.95.x.x 0.0.0.3 any 25
acl 101 permit tcp 193.95.x.x 0.0.0.3 any 110
acl 101 permit tcp 193.95.x.x 0.0.0.3 any 53
acl 101 permit udp 193.95.x.x 0.0.0.3 any 53
acl 101 deny icmp any any
est ce que c'est la bonne configue
Merci

Eric ROBIN · Posté le: Mar Nov 18, 2003 12:23 pm Sujet du message:

La bonne configuration, je ne sais pas, car cela dépend vraiment de ce que vous voulez faire, d'autant plus que les ACLs ne permettent pas de faire du Firewalling avancé (exemple : éviter le scan de ports, etc.).

Il faut faire attention sur les ACLs, il y a toujours un deny ip any any implicite à la fin de chaque ACL, ce qui veut dire que la dernière ligne (deny icmp any any) ne sert à rien, vu qu'après celle-ci tout est refusé.

Sinon, telle qu'elle est actuellement, cette ACL ne laisserait passer que les trafics désignés par les 7 premières règles de filtrage.

ROBIN Eric

**********************************
Direction & Responsable du pôle formation
Laboratoire Cisco
Mail : labo-cisco@supinfo.com
Web : http://www.labo-cisco.com
CLTE : http://clte.labo-cisco.com
**********************************

Nebil · Visiteur Inscrit le: 13 Juil 2002 Messages: 17

access-list 101 deny ip any 193.92.x.x 0.0.0.3
access-list 101 permit ip any any
Dsl , mais , vous voyez pas un contre sens ici , d'une part je refuse et puis j'autorise le meme traffic avec any ????

Eric ROBIN · Posté le: Jeu Nov 20, 2003 12:57 am Sujet du message:

Ce n'est pas le même trafic, c'est ce qui reste après filtrage de la première règle, donc tout sauf le trafic ayant pour destination 193.92.x.x

J'ai "mis" un permit ip any any uniquement pour avoir une règle en permit, car si on ne met que des règles en deny, plus rien ne passe. Maintenant, libre à vous de mettre autre chose qui correspond mieux à vos attentes.

ROBIN Eric

**********************************
Direction & Responsable du pôle formation
Laboratoire Cisco
Mail : labo-cisco@supinfo.com
Web : http://www.labo-cisco.com
CLTE : http://clte.labo-cisco.com
**********************************

Nebil · Visiteur Inscrit le: 13 Juil 2002 Messages: 17

Merci pour la réponse !
Alors voila ce que j'ai fait !!
Access-list 100 permit tcp any 193.95.x.x 0.0.0.3 eq 80
Access-list 100 permit tcp any 193.95.x.x 0.0.0.3 eq 8080
Access-list 100 permit tcp any 193.95.x.x 0.0.0.3 eq 21
Access-list 100 permit tcp any 193.95.x.x 0.0.0.3 eq 20
Access-list 100 permit tcp any 193.95.x.x 0.0.0.3 eq 110
Access-list 100 permit tcp any 193.95.x.x 0.0.0.3 eq 25
Access-list 100 permit tcp any 193.95.x.x 0.0.0.3 eq 80
Access-list 100 permit tcp any 193.95.x.x 0.0.0.3 eq https
Access-list 100 permit tcp any 193.95.x.x 0.0.0.3 eq 53
Access-list 100 permit udp any 193.95.x.x 0.0.0.3 eq 53
Access-list 100 deny tcp any 192.168.102.1 0.0.0.255 range 137 139
Access-list 100 deny tcp any 192.168.102.1 0.0.0.255 gt 1024
Access-list 100 deny ip any any
L'adresse 193.95.x.x est celle du port wan du routeur
l'adresse 192.168.102.1 est celle du serveur proxy
comment trouvez vous cette config ?
Mecri pour l'aide

Eric ROBIN · Posté le: Jeu Nov 20, 2003 4:54 pm Sujet du message:

La dernière ligne deny ip any any est complètement inutile car implicite à la fin de toute ACL.
Pour le NetBIOS, il s'agit bien des ports 137 à 139, mais je crois que pour les ports 138 & 139 qu'il s'agisse du protocole UDP et non pas TCP.

Dernière petite chose, si j'ai bien compris, cette ACL est prévue pour être placée sur l'interface WAN du routeur pour le trafic entrant. Si c'est bien le cas, je ne comprends pas pourquoi il y a les 2 avant-dernières lignes concernant le proxy. En effet, il y a un mélange entre adresses publiques et privées

ROBIN Eric

**********************************
Direction & Responsable du pôle formation
Laboratoire Cisco
Mail : labo-cisco@supinfo.com
Web : http://www.labo-cisco.com
CLTE : http://clte.labo-cisco.com
**********************************

jjd · Membre actif Inscrit le: 26 Déc 2002 Messages: 146

Je suis entierement d'accord avec Mr l'Administrateur : La derniere ligne est implicite dans le traitement de l'access-list.
Neanmoins, administrativement parlant, elle permet certains controles.
Par exemple la commande "sh access-list", on peut voir les Hits, et regarder l'évolution du nombre de trames que l'IOS passe a la trappe.
Ce qui permet de determiner si l'access-list est performante dans le traitement (En principe, il doit y avoir un nombre tres limité qui tombent dans le deny all).
Il m'est arrivé d'avoir a répondre a un probleme d'un utilisateur qui ne pouvait pas passer le routeur suite a une commande particuliere. En regardant avant et apres, il est souvent possible de voir si cela passait dans le "deny all" ou pas, et ainsi me permettre de faire un diagnostic beaucoup plus rapide.
Moi, je parle du cas d'access-lists conséquente.

Nebil · Visiteur Inscrit le: 13 Juil 2002 Messages: 17

access-list 100 permit tcp any any eq www
access-list 100 permit tcp any any eq pop3
access-list 100 permit tcp any any eq smtp
access-list 100 permit tcp any any eq 53
access-list 100 permit UDP any any eq 53
access-list 100 permit tcp any any range ftp-data ftp

Sous l’interface Eth0 (#) on fixe la première règle . : ip access-group 100 in

Bloquer l’accès Internet vers mon réseau

access-list 101 deny ip any any

on l’applique sur S0 : ip access-group 101 in

Edité par - Nebil le 22 November 2003 13:46:57