LAB-ANTO

{ * info-rmatique ! }

ACL

ACT standard

numéro de 1 à 99 (+1300…). Filtrent le trafic basé uniquement sur les adresses IP source. Elle doit se placer le plus près possible de la destination. (Le routeur le plus proche du serveur attaqué par le spammeur).

ip access-list standard [N°/nom]
deny/permit ip/tcp/icmp source wildcard (eq port)
autant de linges que nécessaire
deny any implicite
int f0/2
ip access-group [N°/nom] in/out
end
show ip access-lists

interdire com entre 2 hôtes:
R1 : access-list 1 deny 172.16.1.10 0.0.0.0 » (car on veut interdire une seule machine, pas le réseau)
Ou « access-list 1 deny host 172.16.1.10 »
R1(config)#int fa0/0
R1(config-if)#ip access-group 1 out (car dans le sens de la sortie du routeur)
R1(config-if)#access-list 1 permit any (autoriser autres PC, désactive « deny » auto)

supprimer la liste
no access-list 1 (ou – no access-group)
do sh ip access-list (voir les listes appliquées)

ACL étendue

numéro de 100 à 199 (+2000…). Elle permet de contrôler une adresse IP source, et une partie de l’adresse de destination au moyen du masque inversé ; le type de protocole (TCP, UDP) ; un port source et de destination, de service (comme SSH ou Telnet par exemple). Elle doit être placée le plus proche possible de la source.

ip access-list extended [N°/nom]
deny/permit ip/tcp/icmp source wildcard dest wildcard (eq port)
autant de linges que nécessaire
deny any any implicite
int f0/2
ip access-group [N°/nom] in/out
end
show ip access-lists

autoriser l’accès à la page web du PC 1 (192.168.1.10) pour l’hôte .100.50, autoriser le PC 1 à communiquer avec le PC 1 du réseau en face (172.16.1.10), puis le PC 2 (192.168.1.20) à communiquer avec le PC 2 en face (172.16.1.20), les autres sont par défaut interdits et ne peuvent communiquer avec ceux autorisés:

R1: access-list 100 permit tcp host 192.168.1.10 host 192.168.100.50 eq 80
R1: access-list 100 permit ip host 192.168.1.10 host 172.16.1.10
R1: access-list 100 permit ip host 192.168.1.20 host 172.16.1.20
Application de l’ACL dans le CLI du routeur :
R1 : int fa0/0
R1 : ip access-group 100 in

ACL étendue, il faut mettre 2 fois « any any » (destination et source).

La commande pour supprimer la liste et le groupe
no access-list ou no access-list group

Autres ex :
access-list 100 permit tcp any host 192.16.1.10 eq 80 -> autorise tout le trafic entrant en http vers serveur
access-list 100 permit tcp any any eq 443
access-list 100 deny tcp any any eq 21
access-list 100 deny tcp any any eq 22

Autre ex:
Blocage des pings entrants sur le WAN :
Router(config)# access-list 100 deny icmp any any echo

Bloquer toutes les connexions entrantes depuis le WAN, sauf pour les pings autorisés provenant de l’adresse IP publique 203.0.113.5:
access-list 101 permit icmp host 203.0.113.5 any echo
access-list 101 deny ip any any

Autorisation du trafic HTTP sortant uniquement :
Router(config)# access-list 100 permit tcp any any eq 80
Router(config)# access-list 100 deny ip any any

Limiter les connexions internes au serveur web local (192.168.1.10) au trafic HTTP uniquement:
access-list 102 permit tcp any host 192.168.1.10 eq 80
access-list 102 deny ip any any

! Appliquer ACL à line ou à VLAN !
  • appliquer à une line :
    line con 0 / line vty 0-15
    access-class n°/nom in/out
  • aplliquer à VLAN
    int vlan 1
    ip add 10.1.1.2 255.255.255.252
    no sh
    ip access-group [ACL_créée] in/out
    exit

Quelle int et in/out ?? (int ? -> ip access-group [n°list] in/out?)

Appliquer l’ACL à interface WAN : in (filtre trafic entrant)
Appliquer l’ACL à interface WAN : out (filtre trafic sortant)
Aplliquer l’ACL à interface LAN : in (filtre trafic interne)

Test des règles
Sur un PC, pour tester port 80 et 22, rentrer :
telnet [adIP-serveur-à-tester] 80
telnet [adIP-serveur-à-tester] 22

ACL nommée

R1: conf t
R1: ip access-list extended (ou standard) web (nom)
R1(config-ext-nacl) : permit tcp host 192.168.1.10 host 192.168.100.50 eq 80
R1(config-ext-nacl) : permit icmp host 192.168.1.10 host 172.16.1.10 echo
R1(config-ext-nacl) : permit ip host 192.168.1.20 host 172.16.1.20
application des ACLs nommées:
R1: int fa0/0
R1: ip access-group web in (On ne peut pas faire de ping sur le serveur, mais on a accès à la page web.)

Ordre des règles

Placez toujours les règles les plus spécifiques et précises en haut de la liste.
Commencez par les règles de blocage les plus spécifiques avant d’ajouter des autorisations générales.

Vérification des ACL
show access-lists
show ip interface GigabitEthernet0/0 
Penser à documenter les ACE
Dépannage : Journaux / Simulation

Activez les journaux pour surveiller le comportement des ACL :
Router(config)# logging console
Mode Simulation pour tracer un paquet