Bonjour, ma question va parraitre toute simple pour tous ceux qui manipulent des routeurs & switchs CISCO.
Quelqu'un peut-il me fournir quelques exemples de lignes de scripts d'IOS Cisco qui serviraient à faire du filtrage par adresse IP et par ports.
 
Exemples :
'tel adresse IP' est 'autorisée' à faire du 'HTTP' vers 'tel réseau'
ou encore
'tel plage d'adresse IP' n'est 'pas autorisée' à faire du 'Telnet' vers 'tel adresse IP'
 
Je cherche à faire un peu de filtrage sur un Switch Cisco Catalyst connecté à un Routeur Cisco qui gère des VLAN dessus.
 
J'espère que c'est assez clair    
 
Merci d'avance...

tu as jetté un oeil sur la doc fourni par cisco  ?

Oui, j'ai en effet feuilleté les docs mais c'est fastidieux, peu clair et surtout très peu précis comme mes exemples   .
 
Je n'ai malheureusement pas assez de temps pour lire tout ça et pour faire des tests dans tous les sens.
 
C'est pour ça que je m'adresse à quelqu'un qui connait bien la chose et qui peut me 'brieffer' sans problème.

Exemple ne sortir que par le port 2000 pour une seule machine (IP_src) vers la machine IP_dst:
 
dans le code général :

 
dans le code de l'interface :

 
Après tu jongles avec les access-list pour faire ce que tu veux.

OK merci   , je vais essayer ça !
2-3 p'tites précisions :
- le 115 correspond à quoi exactement ?
- le eq aussi signifie quoi ?
- enfin même question pour le out ?
j'vais essayer quand-même, mais j'aimerais savoir ce que c'est pour pouvoir extrapoler tout ça et faire une bonne config.

Tu utilise quelle version d'IOS ?

 
 
115 -> il te faut un id pour l'access list, regarde la doc Cisco, il faut un id dans un certain range pour les ACL IP.
 
Le eq sert à filtrer sur le port TCP
 
Le out, pour dire que l'ACL s'applique en sortie de l'interface.
 
 
look : http://www.cisco.com/en/US/tech/tk [...] fc76.shtml

 
Mon routeur est en 12.3.

[citation=638219,0,7][nom]ZeBib a écrit[/nom]115 -> Le eq sert à filtrer sur le port TCP
 
Merci pour les infos, mais ce qui m'échappe c'est que dans la ligne :
 
access-list 115 permit tcp IP_src IP_dst eq 2000
 
tu dis déjà que c'est du TCP que tu filtres, pourquoi le repréciser avec eq ?

Mes premiers tests sont très concluants , en effet, ça à l'air de bien fonctionner tout ça.
   Encore une petite question :
 
Si je mets plusieurs lignes de filtrage dans le/a même access-list, comment supprimer une des lignes ?
Bêtement moi, je tappe un no access-list blablabla, mais ça me supprime toutes les lignes de cet/tte access-list !

Sauf erreur de ma part, tu peux pas. Faut pas faire d'erreur, sinon tu repars de 0.
D'où l'utilité de tout mettre dans un fichier que tu balances dans l'hyper terminal, ca évite les fautes de frappe à la 82ème règle.

Whaaaa, mais c'est trop pourri dans ce cas là !
Q'est-ce qu'ils font les gars de CISCO ???
 
Bon, je me calme et je prends sur moi.
 
Donc, on va dire que c'est pas fait pour être très évolutif. OK, c'est noté, merci !  

tu peux également écrire tes access-list sur une autre machine, les mettre sur un serveur TFTP ou FTP. Sur le cisco tu peux ensuite les récupérer.

Autrement, moi je suis dans le restrictif donc si je veux traduire :
Rien ne passe sauf un PC (1.2.3.4) vers un réseau (ex:192.168.0.0/24) et un réseau (ex:191.221.10.0/24) vers any en telnet, ca donne ça :

C'est ça ? ou j'y suis pas du tout ?  

Bon bah, tu vas aller lire la doc par là alors :
http://www.cisco.com/en/US/product [...] l#wp999526
http://www.cisco.com/en/US/product [...] ca7c0.html
 
Bonne lecture, bon courage et amuses toi bien ...

Désolé, mais je crois que t'as mal lu mes 2 premiers messages . T'as vu les docs
Si je demande de l'aide sur ce forum, c'est pour allez droit au but, cependant, merci beaucoups pour tes recherches, je vais essayer de jeter un coup d'oeil  

Attends, c'est du Cisco mon bonhomme ...
Fais toi payer une formation si tu te sens pas à la hauteur
 
 
Juste pour ton info, j'ai jamais eu besoin de rien d'autre que les docs de Cisco pour  
"dompter" leurs bestioles ...  ça demande du travail et un peu d'abnégation  
 
Et pis franchement, les ACL chez Cisco, c'est pas bien dur à comprendre    
 
Allez, mets toi au boulot et tu verras que ça ira tout seul ...

C'est bien ce que je dis, j'demande juste un coup de pouce, pas qu'on me renvoie sur les docs (j'ai vraiment pas le temps, j'aimerais vraiment mais je l'ai pas). On tourne en rond là. lol

Tu voudrais "sécuriser"  mais en "coup de vent" ...  en gros, si je lis entre les lignes ... heu ... c'est un peu paradoxal là ...  
Enfin bon ...
Si tu avais pris la peine de lire les qq pages que je t'ai indiqué (surtout que en plus je suis vraiment allez chercher celles qui sont en rapport direct avec ton besoin imédiat), tu aurais eu la réponse à tes questions de base sur les ACL sous IOS ... et tu aurais gagné bcp de temps ... tant pis ...
 
Bon courage ...

 
 
Beh tout simplement pour induquer quel port      
 
Tu devrais vraiment lire un peu des docs car là tu semble faire qqc sans comprendre et c'est assez dangeureux mine de rien.
Enfin ça dépend ou va ton routeur.

En fait j'avais pas compris cette phrase qui avoue-le Zebib n'est pas très claire, mais là c'est bon, je vois.
 
Par contre, et après avoir survolé les docs (sinon j'V me faire engueulé par tout le monde) on ne peut pas spécifier de plage d'adresses ? Genre : de 191.221.10.5 à 191.221.10.55 ?

Je ne sais plus. Je n'ai pas de routeur Cisco sous la main en ce moment.
 
Par contre j'ai des Huawei ou plutôt des 3Com   5012, 5232, 5642 et 6040 qui utilisent des CLI très proches (voir identiques   ) à celles de Cisco donc si je trouve la commande je te dirais

pour la plage d'adresse 192.168.1.0/28 par exemple

 
Merci , je vais essayer, mais je vois pas trop comment reporter cette ligne pour mon exemple (de 191.221.10.5 à 191.221.10.55), tu vois ?

tu n'as jamais travaillé sur les masques de réseaux ??

Si mais l'exemple de l0ky c'est pour tout un réseau (de 192.168.1.1 à 192.168.1.15 si je me trompe pas).
Je suis plus intéressé par une plage d'adresse comme par exemple
de 191.221.10.5 à 191.221.10.55 sur un réseau 191.221.10.0 (en Classe C)