Implémentation d'acl étendue - Forum CISCO

A voir également:Implémentation d'acl étendueACL etendues ✓ - Forum - Réseau Outlook non implémenté - Forum - Outlook Partition étendue - Articles Non implémenté ✓ - Forum - Outlook Outlook 2007 non implémenté résolu - Forum - Messagerie

Bonjour j'aimerai avoir quelques indications sur la notation d'une ACL étendue , Merci :

On autorise la machine 192.168.2.12 à se connecter via ssh à toutes les machines du réseau 192.168.3.0/24,

#permit tcp host 192.168.2.12 gt 1023 192.168.3.0 0.0.0.255 eq 22

je sais que eq = 22 se traduit par SSH mais gt 1023 correspond à quoi ?

Forum

A voir également:Implémentation d'acl étendueACL etendues ✓ - Forum - Réseau Outlook non implémenté - Forum - Outlook Partition étendue - Articles Non implémenté ✓ - Forum - Outlook Outlook 2007 non implémenté résolu - Forum - Messagerie

Web: www.shapebootstrap.net

1 réponse

Marsh

NOVEMBER 9, 2013 AT 9:15 PM

bonjour,

C est un opérateur au même titre que eq eq 22 = "egal à 22 donc le port "ssh"
gt = plus grand que
voici un exemple:

deny tcp any gt 1023 host 10.112.13.1 eq 22

on refuse les paquets TCP provenant d'un port supérieur à 1023 à destination du
port 22 de l hôte 10.112.13.1

Il ne reste plus qu'à traduire pour votre cas.

Cordialement

Dire « Merci » 2

Heureux de vous avoir aidé ! Vous nous appréciez ? Donnez votre avis sur nous ! Evaluez CommentCaMarche

CCM a aidé 33882 internautes ce mois-ci

Reply
réponses:
  • auteur

  • auteur

    Ah d'accord merci pour votre réponse

  • auteur

    juste une autre que signifie : accest-list 101 permit any any
    ce type d'acl est toujours accompagné avant d'autres règles ?

  • auteur

    Salut,
    c'est pas plutôt permit ip any any ?
    ça laisse passer tous les paquets IP,
    si tu le mets au début ton ACL ne sert à rien.

  • auteur

    d'accord merci pour votre réponse, cette commande permet de conclure une ACL en gros ,
    je me demande juste pourquoi on écrit "any any" 2 fois ? si vous avez la réponse

  • auteur

    Premier any pour adresse source (n'importe laquelle) et second any pour adresses destination (n'importe laquelle aussi).
    ça permet conclure une acl qui ne comporte que des deny
    car toutes les acl ont un deny all (deny ip any any) implicite à la fin, donc une acl qui n'a que des deny ne laisse rien passer du tout.
    https://www.cisco.com/c/en/us/support/docs/ip/access-lists/26448-ACLsamples.html

  • auteur

    ok merci super

  • auteur

    j'ai une question j'aimerai savoir la différence de ces 2 acl avec le mot "etablished"

    access-list 110 permit tcp host 192.168.1.100 any eq ftp established

    et

    access-list 110 permit tcp host 192.168.1.100 any eq ftp


    SI vous savez merci

  • auteur

    Established indique une connexion TCP déjà établie comme son nom l'indique c'est à dire sans flag syn.
    en pratique ça sert à permettre les connexions sortantes, mais pas les connexions entrantes
    Les deux règles ne sont pas dans le même ACL j'espère car la seconde annule la première en étant moins restrictive

  • auteur

    c'est-à-dire sans flag syn sinon merci beaucoup pour votre réponse

  • auteur

    Voir le lien vers TCP fourni.

  • auteur

    bonsoir, je me demandais si il est possible de mettre des acl pour filtrer à partir de l'adresse mac et commet ? merci

  • auteur

    oui, avec des access-list 700
    Mais ça ne fonctionne que sur des interfaces bridgées (non ip) il me semble.
    https://www.cisco.com/c/en/us/support/docs/ip/access-lists/26448-ACLsamples.html#anc18
    Sur les switchs il existe aussi la commande mac access-list nom ...
    https://www.cisco.com/c/en/us/support/docs/switches/catalyst-3550-series-switches/64844-mac-acl-block-arp.html

  • auteur

    dacc super merci beaucoup

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed