Implémentation d'acl étendue - Forum CISCO

Implémentation d'acl étendue ACL etendues [Résolu] (Résolu) » Forum - Réseau Ecrire une acl étendue » Forum - Réseau Les ACL éténdue » Forum - Réseau Acl etendu cisco it/gt/eq/neq » Forum - CISCO Implémentation de l'algo de Dijkstra en C » Forum - C

Bonjour j'aimerai avoir quelques indications sur la notation d'une ACL étendue , Merci :

On autorise la machine 192.168.2.12 à se connecter via ssh à toutes les machines du réseau 192.168.3.0/24,

#permit tcp host 192.168.2.12 gt 1023 192.168.3.0 0.0.0.255 eq 22

je sais que eq = 22 se traduit par SSH mais gt 1023 correspond à quoi ?

Forum

Implémentation d'acl étendue ACL etendues [Résolu] (Résolu) » Forum - Réseau Ecrire une acl étendue » Forum - Réseau Les ACL éténdue » Forum - Réseau Acl etendu cisco it/gt/eq/neq » Forum - CISCO Implémentation de l'algo de Dijkstra en C » Forum - C

Web: www.shapebootstrap.net

14 réponses

Marsh

NOVEMBER 9, 2013 AT 9:15 PM

bonjour,

C est un opérateur au même titre que eq eq 22 = "egal à 22 donc le port "ssh"
gt = plus grand que
voici un exemple:

deny tcp any gt 1023 host 10.112.13.1 eq 22

on refuse les paquets TCP provenant d'un port supérieur à 1023 à destination du
port 22 de l hôte 10.112.13.1

Il ne reste plus qu'à traduire pour votre cas.

Cordialement

Merci semper 2

Avec quelques mots c'est encore mieux Ajouter un commentaire

CCM a aidé 22494 internautes ce mois-ci

Reply
réponses:
  • auteur

  • DarkBune

    Ah d'accord merci pour votre réponse

  • DarkBune

    juste une autre que signifie : accest-list 101 permit any any
    ce type d'acl est toujours accompagné avant d'autres règles ?

  • brupala

    Salut,
    c'est pas plutôt permit ip any any ?
    ça laisse passer tous les paquets IP,
    si tu le mets au début ton ACL ne sert à rien.

  • DarkBune

    d'accord merci pour votre réponse, cette commande permet de conclure une ACL en gros ,
    je me demande juste pourquoi on écrit "any any" 2 fois ? si vous avez la réponse

  • brupala

    Premier any pour adresse source (n'importe laquelle) et second any pour adresses destination (n'importe laquelle aussi).
    ça permet conclure une acl qui ne comporte que des deny
    car toutes les acl ont un deny all (deny ip any any) implicite à la fin, donc une acl qui n'a que des deny ne laisse rien passer du tout.
    https://www.cisco.com/c/en/us/support/docs/ip/access-lists/26448-ACLsamples.html

  • DarkBune

    ok merci super

  • DarkBune

    j'ai une question j'aimerai savoir la différence de ces 2 acl avec le mot "etablished"

    access-list 110 permit tcp host 192.168.1.100 any eq ftp established

    et

    access-list 110 permit tcp host 192.168.1.100 any eq ftp


    SI vous savez merci

  • brupala

    Established indique une connexion TCP déjà établie comme son nom l'indique c'est à dire sans flag syn.
    en pratique ça sert à permettre les connexions sortantes, mais pas les connexions entrantes
    Les deux règles ne sont pas dans le même ACL j'espère car la seconde annule la première en étant moins restrictive

  • DarkBune

    c'est-à-dire sans flag syn sinon merci beaucoup pour votre réponse

  • brupala

    Voir le lien vers TCP fourni.

  • DarkBune

    bonsoir, je me demandais si il est possible de mettre des acl pour filtrer à partir de l'adresse mac et commet ? merci

  • brupala

    oui, avec des access-list 700
    Mais ça ne fonctionne que sur des interfaces bridgées (non ip) il me semble.
    https://www.cisco.com/c/en/us/support/docs/ip/access-lists/26448-ACLsamples.html#anc18
    Sur les switchs il existe aussi la commande mac access-list nom ...
    https://www.cisco.com/c/en/us/support/docs/switches/catalyst-3550-series-switches/64844-mac-acl-block-arp.html

  • DarkBune

    dacc super merci beaucoup

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed