La première chose que vous voulez faire est de définir l’adresse IP source, qui dans ce cas est la 192.168.1.50 non autorisée. Vous voudrez d’abord bloquer tout le trafic provenant de cette adresse IP, ce que vous pouvez faire avec un masque joker, qui agit comme le filtre dans ce sous-groupe source.
Vous pouvez lire tout sur le fonctionnement des masques joker dans un autre post. Dans cet exemple, vous devez savoir que le fait d’entrer 0.0.0.0 ici bloquera chaque octet de l’adresse IP. Dans ce cas, toute tentative d’accès à partir du sous-réseau 192.168.1 sera refusée. L’exemple illustré ci-dessus ne comporte qu’un seul hôte. Si vous entrez « host », il n’y a pas de demande de masque, et demande plutôt une destination.
Setting the Destination
Maintenant que la cible est identifiée, il est temps d’entrer la destination restreinte. Dans sa forme actuelle, cette ACL refusera tout trafic TCP entre 192.168.1.50 et 192.168.2.50. Mais ce n’est pas ce que vous voulez faire. C’est là que la fonctionnalité spécifique au port devient importante.
Avec ces déclarations, vous allez refuser aux ports l’accès à votre réseau.
Router1# conf t
Router1(config)# access-list 150 deny tcp host 192.168.1.15 host 192.168.2.50 eq 80
Router1(config)# access-list 150 deny tcp host 192.168.1.15 host 192.168.2.50 eq 443
La première déclaration bloque la cible au port 80 de la destination. La deuxième instruction répète le processus pour HTTPS, qui est le port 443. Le mot clé « EQ », qui signifie égal à, permettra de saisir des ports spécifiques.
Pour vérifier la liste, appelez la liste (« Show Access List »), qui renverra les deux nouvelles déclarations.
Router1(config)#do sh access-list 150
Liste d’accès IP étendue 150
10 deny tcp host 192.168.1.50 host 192.168.2.50 eq www
20 deny tcp host 192.168.1.50 host 192.168.2.50 eq 443
La première refuse au premier hôte de se connecter au second en utilisant le port 80 (HTTP) et la seconde déclaration refuse la même chose en utilisant le port 443 (HTTPS). L’ACL comprend maintenant les instructions nécessaires. Mais la configuration n’est pas encore terminée, et n’est pas prête à être appliquée à une interface.
Négation du « Deny All »
À la fin de chaque ACL, il y a une déclaration ‘Implicit DENY ALL’. Cette déclaration n’apparaît pas dans la configuration ou lorsque vous exécutez la commande ‘show access-list’. Mais elle est TOUJOURS présente. « Ainsi, si vous ajoutez uniquement les deux instructions de refus décrites ci-dessus, cette instruction de refus implicite bloquera tout accès et provoquera une panne totale du réseau. Pour résoudre ce problème, l’ACL a besoin d’une déclaration de permission, également.
Mettez en place la liste d’accès 150 (le numéro attribué à cette liste) et ajoutez « Permit ». Configurez l’autorisation pour inclure l’IP de n’importe quelle source vers n’importe quelle adresse de destination. En autorisant toutes les variations au sein de la déclaration, la fonction « deny all » est annulée et ne provoque plus cette panne. Au lieu de cela, seules les deux déclarations de refus que vous avez créées s’appliqueront désormais, et tout autre trafic sera désormais autorisé.
Router1(config)#access-list 150 permit ip any any
Router1(config)#do sh access-list 150
Liste d’accès IP étendue 150
10 deny tcp host 192.168.1.50 host 192.168.2.50 eq www
20 deny tcp host 192.168.1.50 hôte 192.168.2.50 eq 443
30 permit ip any any
Application de la liste de contrôle d’accès et détermination de la direction
Les meilleures pratiques deisco indiquent que cette liste doit être appliquée aussi tôt que possible dans la séquence. Dans ce cas, c’est au niveau du routeur 1. Dans la console, saisissez « int fa0/0 » pour l’interface FastEthernet 0/0, puis la commande « ip access-group ». Ensuite, entrez le numéro de la liste concernée, qui dans ce cas est 150.
La console interrogera alors « in » (paquet entrant) ou « out » (paquet sortant), ce qui nécessite de déterminer la direction. Le meilleur conseil possible ici : soyez le routeur. Imaginez que chacun de vos bras est une interface, une FastEthernet 0/0 et une série 0/0, et demandez de quelle direction vient le trafic. Dans ce cas, le trafic arrive dans l’interface, ce qui dans cet exemple indique que l’entrée finale de l’application de la liste d’accès devrait être « in ».
Router1(config)# int fa0/0
Router1(config-if)#ip access-group 150 in
Avec la liste d’accès appliquée, l’hôte 192.168.1.50 ne pourra plus atteindre l’hôte 192.168.2.50 en utilisant le port 80 ou 443, et votre travail est terminé !
Cours ACL CBT Nuggets
Le cours de formation CBT Nuggets suivant du formateur Jeremy Cioara contient deux vidéos (66 et 67) qui couvrent les listes d’accès de manière plus détaillée.
- Cisco CCENT/CCNA 100-105 ICND1
Vous voulez en savoir plus sur les listes d’accès sur les routeurs Cisco ? Voici Jeremy avec plus d’informations sur le sujet !