Filtrer le trafic réseau avec les listes de contrôles d’accès standards et étendues (ACL)

logo cisco

Par default une nouvelle liste d’accès finira toujours par « deny any any » ce qui signifie que tout ce qui ne sera pas spécifié comme « autorisé » restera « interdit ». Le deny désigne « interdit », le premier any est la source, et le second any est la destination. Je vais traduire d’une façon littéral ce que j’explique au dessus.

Access-list 1 deny any(source) any(destination)
liste d'accès 1 refuse tout(source) tout(destination)

En résumé une telle access list n’autorisera aucun trafic sur tout votre réseau personnel.

Dans les access list, nous allons voir les « standart » et « étendue », une acess list possède toujours un identifiant (ex: 1), cela signie que le « 1 » de mon exemple du dessus est mon identifiant.

Sujet : Interdire un hôte spécifique du réseau 205.7.5.0 à accéder à un autre réseau et autoriser les autres

Par default lors de la création de notre accessList elle prendra la forme suivante

AccessListe 1 refuse tout vers tout

Access liste 1 deny any any

On va donc devoir transformer notre access liste afin de correspondre au sujet, on va donc spécifier notre hote qui n’aura pas d’accès, et ne pas oublier d’autoriser le reste, cela nous amène donc à la règle ci-dessous

AccessListe 1 refuse tout à l'hote 205.6.5.2 et autorise tout le reste

Access liste 1 Deny host 205.6.5.2
Access liste 1 Permit any any

Nous allons maintenant créer une ACL de type étendue, lorsque vous utilisez une access list de type étendue, vous devez modifier son identifiant (passer au 100)

Sujet : Autoriser les connexions telnet à destination de l’hôte 223.8.151.10 à partir du réseau 195.5.5.0 mais en empêcher toute autre connexion telnet à partir du réseau 195.5.5.0 vers le réseau 223.8.151.0. Tout autre trafic est autorisé à pénétrer le réseau 223.8.151.0

En s’inspirant de la syntaxe de l’ACL standard on complète simplement en précisant le protocole, ainsi que l’opérateur de comparaison.
(eq = egal, gt = supérieur à, lt = inférieur à) On obient rapidement une ACL plus longue qu’une standart.

Access-list 101 permit tcp 195.5.5.0 0.0.0.255 host 223.8.151.10 eq telnet
Access-list 101 deny tcp 195.5.5.0 0.0.0.255 223.8.151.0 0.0.0.255 eq telnet
Access-list 101 permit ip any 223.8.151.0 0.0.0.255

Quelques Exemples issus des cours Cisco Netcad

Laisser un commentaire