IOS - ACL
Types d’ACL
- ACL standards : (pour l’IP) vérifie l’adresse source du paquet. Le paquet sera soit accepté soit rejeté. Cette règle peut s’appliquer à une seule adresse IP ou à un netmask.
- ACL étendues : vérifie l’adresse source et l’adresse de destination du paquet. D’autres paramètres comme le protocole suivant ou les numéro de port peuvent être vérifiés.
Deux méthodes pour les nommer :
- Utilise un numéro d’identification ;
- Utilise un nom ;
ACL Identification
- IP standard : 1 - 99 et 1300 - 1999 ;
- IP étendu : 100 - 199 et 2000 - 2699 ;
Autres types d’ACL
- Dynamic ACL : dépend d’une connexion Telnet, d’une authentification et des ACL extended ;
- Reflexive ACL : applique une ACL au niveau des protocoles supérieurs : TCP, ICMP… (entrant ou sortant)
- Time-based ACL : applique une ACL pour une certaine période ;
Exemples
Numbered ACL IPv4 Extended
Bloquer certains flux
Router(config)# access-list 101 deny tcp any any eq 80
Router(config)# access-list 101 permit ip any any
Router(config)# interface fa0/0
Router(config-if)# ip access-group 101 out
Commandes
ACL Numbered IPv4
| Commande |
Effet |
# show access-list |
Liste les ACL named |
(config-if)# ip access-group <number> {in❘out} |
Applique une ACL à une interface |
(config)# access-list <number> permit <ip-source> <wildcard-source> |
Créé une nouvelle ACL numbered standart |
(config)# access-list <number> |
Créé une nouvelle ACL numbered extend |
... { permit❘deny } |
Autorise ou bloque le trafic |
... <protocol> |
ip, tcp, udp, icmp, gre, igrp |
... <ip-source> <wildcard-source> |
Sélectionne une IP source |
... [<operator> <port-source>] |
Sélectionne un port source |
... <ip-destination> <wildcard-destination> |
Sélectionne une IP de destination |
... [<operator> <port-destination>] |
Sélectionne un port de destination |
... [ established ] |
Uniquement pour le trafic TCP entrant |
... [ log ] |
Log les paquets concernés |
- IPv4 : 1-99
- IPv4 Extended : 100-199
ACL Named IPv4
| Commande |
Effet |
# show ip access-list |
Liste les ACL named IPv4 |
(config-if)# ip access-group <name> {in❘out} |
Applique une ACL à une interface |
(config)# ip access-list standard <name> |
Ajoute une ACL standart name |
(config-std-nacl)# [<sequence-number>] {permit❘deny} <source> [<wildcard>] |
Autorise ou bloque le trafic suivant l’IP source |
(config-std-nacl)# [<sequence-number>] {permit❘deny} any |
Autorise ou bloque tous le trafic |
(config)# ip access-list extended <name> |
Ajoute une ACL extended name |
(config-ext-nacl)# [<sequence-number>] {permit❘deny} |
Autorise ou bloque le trafic |
... <protocol> |
ip, tcp, udp, icmp, gre, igrp |
... <ip-source> <wildcard-source> [<operator> <port-source>] |
Sélectionne une IP source |
... <ip-dest> <wildcard-dest> [<operator> <port-dest>] |
Sélectionne une IP de destination |