[RESOLU] Access-List Extended Cisco

[RESOLU] Access-List Extended Cisco - Réseaux - Systèmes & Réseaux Pro

Marsh Posté le 08-06-2012 à 16:55:31    

Bonjour à tous,
 
Je viens demander de l'aide concernant les access-list extended car je rencontre un petit problème et j'avoue que je pêche un peu ...
 
J'ai un partage Windows sur un PC (sous XP) dans un Vlan X et depuis un Vlan Y, je n'arrive pas à accéder à ce partage ! Alors que j'y arrive bien depuis n'importe quel machine du Vlan X ...
Je me suis donc connecté sur mon coeur de réseau pour contrôler les Access-List en place et voici ce que j'ai constaté :
 
Extended IP access list "Acces_Vlan_X"
      10 deny ip any any
 
Extended IP access list "Vlan_X"
      10 permit tcp host xxx.xxx.xxx.xxx host xxx.xxx.xxx.xxx eq telnet
      20 deny ip any any
 
Et Aucune Access-List pour le Vlan Y.
 
J'ai donc rajouté les règles suivantes dans chacune des Access-List mais rien n'y fait, sa ne marche toujours pas :
 
 
Extended IP access list "Acces_Vlan_X"
      10 permit tcp any any eq 137
      11 permit tcp any any eq 138
      12 permit tcp any any eq 139
      13 permit tcp any any eq 445
      20 permit ip any any
 
Extended IP access list "Vlan_X"
      10 permit tcp host xxx.xxx.xxx.xxx host xxx.xxx.xxx.xxx eq telnet
      11 permit tcp any any eq 138
      12 permit tcp any any eq 139
      13 permit tcp any any eq 445
      20 permit ip any any
 
 
Si quelqu'un pouvait m'éclairer sur le sujet please :)

Message cité 1 fois
Message édité par scyrus87 le 22-06-2012 à 23:29:35
Reply

Marsh Posté le 08-06-2012 à 16:55:31   

Reply

Marsh Posté le 08-06-2012 à 19:49:38    

c'est bien beau toutes ces ACL mais tu les appliques comment ?
 
et niveau routage c'est OK ?


---------------
Que va-t-il se passer cette gelgamar ? vous le découvrirez janamont à 20h
Reply

Marsh Posté le 09-06-2012 à 17:34:30    

En reprenant ton vlan X et vlan Y .
En supposant que tu as un bien activer le routage intervlan et que tu as bien créer une interface vlan X et Y .
vlan X-------interface vlan X-----------(routage intervlan)----------interface vlan Y-----vlan Y

 

Tu crée une ACL étendue qui filtrera ton réseau X avant décision de routage (drop des packets à la source)
access list (nom de ton réseau X par exemple)
    10 deny tcp any any range 135 139 log (on bloque le trafic sur les ports netbios un peu sensible)
    20 permit tcp (vlan x network) (wildcard mask) any established (on autorise les connections établies ACK,RST flag)
    30 permit ip (vlan x network) (wildcard mask) (vlan y network) (wildcard mask) (on autorise le réseau x à communiquer avec y , sur les couches au dessus d'ip , tcp /udp / icmp)
Attention  deny implicite pour le reste du trafic en fin d'ACL.

 

Aprés tu ajustes les ACLs selon tes besoins en filtrage.
Tu appliques cette ACL en entrée de ton interface vlan X . Puis tu fais une autre ACL pour Y que tu appliqueras en entrée sur l'interface vlan Y pour filtrer le trafic source du réseau Y.

 

Il faut être beaucoup plus rigoureux pour l'écriture des acls et maîtriser le routage et la syntaxe , sur ton topic même le nom de l'acl n'est pas explicite , tu mets des permit tcp ...... port et a la fin de l'acl un permit ip any any qui est redondant avec tes premières règles écrites.

  

:jap:


Message édité par statoon54 le 09-06-2012 à 17:35:09
Reply

Marsh Posté le 10-06-2012 à 09:54:23    

rajoute le mot clé "log" à la fin de tes ACLs pour les tests, et enlève le permit ip any any si tu veux tester et voir le compteur s'incrémenter.


Message édité par dreamer18 le 10-06-2012 à 09:54:41

---------------
"Parceque toi tu fracasses du migrant à la batte de baseball, c'est ça ?" - Backbone-
Reply

Marsh Posté le 10-06-2012 à 14:08:35    

Tout d'abord, merci pour votre aide !
 
Au niveau du routage inter-vlan tout est OK ;). Depuis mon Vlan X (DATA) j'arrive bien à pinguer mes machines situées dans mon
Vlan Y (SERVEUR). Tout semble fonctionner sauf le partage windows..
 
Je reprend pour bien expliquer ou pour mieux me faire comprendre/aider :
 
Vlan X = Vlan DATA (il s'agit du Vlan de base pour les utilisateurs)
interface vlan DATA = 10.250.23.2/24 (exemple)
 
Vlan Y = Vlan SERVEUR
interface vlan SERVEUR = 10.250.30.2/24 (exemple)
 
 
Donc si je reprend ton exemple Statoon54, voici ce que je devrais mettre comme ACL :
 
access list DATA
10 deny tcp any any range 135 139 log
20 permit tcp 10.250.23.0 any established
30 permit ip 10.250.23.0 0.0.0.255 10.250.30.0 0.0.0.255
 
 
access list SERVEUR
10 deny tcp any any range 135 139 log
20 permit tcp 10.250.30.0 any established
30 permit ip 10.250.30.0 0.0.0.255 10.250.23.0 0.0.0.255
 
Et après, comment j'applique les ACL suivantes en "entrée" ? Déjà, est-ce bon ce que j'ai écrit comme ACL ?

Reply

Marsh Posté le 10-06-2012 à 17:53:06    

scyrus87 a écrit :

Tout d'abord, merci pour votre aide !

 

Au niveau du routage inter-vlan tout est OK ;). Depuis mon Vlan X (DATA) j'arrive bien à pinguer mes machines situées dans mon
Vlan Y (SERVEUR). Tout semble fonctionner sauf le partage windows..

 

Je reprend pour bien expliquer ou pour mieux me faire comprendre/aider :

 

Vlan X = Vlan DATA (il s'agit du Vlan de base pour les utilisateurs)
interface vlan DATA = 10.250.23.2/24 (exemple)

 

Vlan Y = Vlan SERVEUR
interface vlan SERVEUR = 10.250.30.2/24 (exemple)

 


Donc si je reprend ton exemple Statoon54, voici ce que je devrais mettre comme ACL :

 

access list DATA
10 deny tcp any any range 135 139 log
20 permit tcp 10.250.23.0 any established
30 permit ip 10.250.23.0 0.0.0.255 10.250.30.0 0.0.0.255

 


access list SERVEUR
10 deny tcp any any range 135 139 log
20 permit tcp 10.250.30.0 any established
30 permit ip 10.250.30.0 0.0.0.255 10.250.23.0 0.0.0.255

 

Et après, comment j'applique les ACL suivantes en "entrée" ? Déjà, est-ce bon ce que j'ai écrit comme ACL ?

 

C'est déjà mieux , pour appliquer les ACLs tu vas dans la conf de ton interface , conf t , int vlan X , ip access-group DATA in , pareil pour l'interface Y ,int vlan Y , ip access-group SERVEUR in.
Vérifie la config avec , sh ip int vlan X ( tu dois voir le nom de l'acl appliqué en in ) .
Après tu testes la communication entre les 2 .
Les ports 135 et 139 bloque la résolution netbios , donc si tu veux accéder à une ressource de part et d'autre il faudra utiliser le hostname DNS ou l'IP .


Message édité par statoon54 le 11-06-2012 à 17:49:30
Reply

Marsh Posté le 11-06-2012 à 14:51:22    

En appliquant les ACLs que je viens de faire, sa va fonctionner tu crois ? Car je veux pas me planter vu que c'est actuellement en production ...
 
Je reprend donc pour validation de ta part stp :) :
 
switch#conf t
switch(config)#int vlan DATA
switch(conf-if)#ip access-group DATA in
switch#write memory
 
switch#conf t
switch(config)#int vlan SERVEUR
switch(conf-if)#ip access-group SERVEUR in
switch#write memory
 
Actuellement, lorsque je fais un "sh int vlan SERVEUR", je ne vois pas le nom des ACL appliqué en in ni en out ...
 
C'est bien sa ?
Merci pour ton aide statoon54 !!
 

Reply

Marsh Posté le 11-06-2012 à 14:56:22    

fais des show access-lists
 
et on intervient jamais sur une prod en pleine journée :D


---------------
"Parceque toi tu fracasses du migrant à la batte de baseball, c'est ça ?" - Backbone-
Reply

Marsh Posté le 11-06-2012 à 15:26:52    

Oui je sais qu'on intervient jamais en prod en pleine journée, mais c'est 24/24 dans ma boite la prod :) et pas de plateforme de test ...
 
En faisant des "show access-list", je vois bien mes ACL mais comment savoir si elles tournent ?

Reply

Marsh Posté le 11-06-2012 à 15:30:42    

t'as mis des compteurs ? (log)


---------------
"Parceque toi tu fracasses du migrant à la batte de baseball, c'est ça ?" - Backbone-
Reply

Marsh Posté le 11-06-2012 à 15:30:42   

Reply

Marsh Posté le 11-06-2012 à 17:51:56    

scyrus87 a écrit :

Oui je sais qu'on intervient jamais en prod en pleine journée, mais c'est 24/24 dans ma boite la prod :) et pas de plateforme de test ...

 

En faisant des "show access-list", je vois bien mes ACL mais comment savoir si elles tournent ?

 

sh ip int vlan X ou sh ip int vlan Y .

 

et tu regardes à inbound access list si elle est appliquée . Après il faut tester la communication , soit en ajoutant des logs ou en sniffant le traffic .
Tu peux utiliser debug ip packet pour voir ce qui transite .


Message édité par statoon54 le 11-06-2012 à 17:52:25
Reply

Marsh Posté le 11-06-2012 à 17:55:16    

pas de debug sur une prod


---------------
"Parceque toi tu fracasses du migrant à la batte de baseball, c'est ça ?" - Backbone-
Reply

Marsh Posté le 11-06-2012 à 18:57:48    

dreamer18 a écrit :

pas de debug sur une prod


Oué enfin on peut dire pareil pour les Acls ^^ Il fait ça en période calme ^^ . C'est pour ça que je lui ai indiqué de sniffer le traffic en premier lieu .


Message édité par statoon54 le 11-06-2012 à 19:00:16
Reply

Marsh Posté le 12-06-2012 à 15:07:02    

Et bien après avoir tapé la commande "'sh ip int vlan x", il s'avère que les ACLs ne sont pas appliquées car j'ai la ligne suivante pour les 2 Vlans :
 
• Inbound access list is not set
 
A savoir que je n'ai pas effectué ceci : (crainte de faire une erreur)
 
switch#conf t  
switch(config)#int vlan DATA  
switch(conf-if)#ip access-group DATA in  
switch#write memory  
 
switch#conf t  
switch(config)#int vlan SERVEUR  
switch(conf-if)#ip access-group SERVEUR in  
switch#write memory
 
 
Que va faire la commande "debug ip packet" ?!
J'ai l'impression d'avoir louppé des cours de réseaux là :s

Reply

Marsh Posté le 12-06-2012 à 18:50:27    

scyrus87 a écrit :

Et bien après avoir tapé la commande "'sh ip int vlan x", il s'avère que les ACLs ne sont pas appliquées car j'ai la ligne suivante pour les 2 Vlans :
 
• Inbound access list is not set
 
A savoir que je n'ai pas effectué ceci : (crainte de faire une erreur)
 
switch#conf t  
switch(config)#int vlan DATA  
switch(conf-if)#ip access-group DATA in  
switch#write memory  
 
switch#conf t  
switch(config)#int vlan SERVEUR  
switch(conf-if)#ip access-group SERVEUR in  
switch#write memory
 
 
Que va faire la commande "debug ip packet" ?!
J'ai l'impression d'avoir louppé des cours de réseaux là :s


 
Si tu n'appliques pas le ip access-group sur l'interface , normal que rien est assigné en ACL.
Le debug ip packet permet de voir les paquets transiter sur les interfaces de ton routeur entre autre.
 

Reply

Marsh Posté le 13-06-2012 à 11:30:53    

ok, je vais tester tout cela en début d'après-midi et reviendrai vers vous pour vous donner le résultat. En espérant que sa fonctionne sans faire de dégâts !

Reply

Marsh Posté le 14-06-2012 à 10:47:03    

Après avoir effectué mon test, c'était encore pire !  :fou:  
 
Voici ce que j'avais fait :
 
 
SWITCH# conf t
SWITCH(config)# ip access-list extended SERVEUR
SWITCH(config-ext-nacl)# 10 permit ip 10.250.23.0 0.0.0.255 any log
SWITCH(config-ext-nacl)# 20 permit tcp 10.250.30.0 0.0.0.255 any established
SWITCH(config-ext-nacl)# exit
SWITCH(config)# interface vlan SERVEUR
SWITCH(config-if)# ip access-group acces-serveur in
SWITCH(config-if)# exit
SWITCH# write memory
 
Et en faisant cela, je n'arrive plus à pinguer mes machines de mon Vlan Serveur depuis mon PC situé dans le Vlan SERVEUR !
Je suis donc revenu en arrière pour le moment...

Reply

Marsh Posté le 14-06-2012 à 18:01:43    

scyrus87 a écrit :

Après avoir effectué mon test, c'était encore pire !  :fou:

 

SWITCH(config)# ip access-list extended SERVEUR
SWITCH(config-ext-nacl)# 10 permit ip 10.250.23.0 0.0.0.255 any log
SWITCH(config-ext-nacl)# 20 permit tcp 10.250.30.0 0.0.0.255 any established
SWITCH(config-ext-nacl)# exit
SWITCH(config)# interface vlan SERVEUR
SWITCH(config-if)# ip access-group acces-serveur in
SWITCH(config-if)# exit
SWITCH# write memory

 

Cette ACL est fausse 10 permit ip 10.250.23.0 0.0.0.255 any log  , 10 permit ip 10.250.30.0 0.0.0.255 any log ( la source en entrée d'interface c'est ton vlan serveur) .
 ip access-list extended SERVEUR <>  ip access-group acces-serveur in . C'est pas la bonne ACL .
Après il ne devrait pas avoir d'incidence si ta machine est sur le même vlan , puisque tes paquets ne sont pas routés par l'interface vlan . L' ACL n'a aucun effet sur la communication entre machines d'un même vlan .


Message édité par statoon54 le 14-06-2012 à 18:02:15
Reply

Marsh Posté le 15-06-2012 à 11:54:36    

Merci Statoon54 pour ton suivi et ton aide !!!!
 
Alors après avoir modifié et appliqué mon ACL (que j'ai renommé en "access-serveur pour bien l'identifier pour moi la  suite), j'arrive bien à pinguer mes serveurs depuis le Vlan DATA. En revanche, le partage ne fonctionne toujours pas. Il doit donc manquer des protocoles je pense (137 à 139 & 445)
 
Voici mon ACL actuellement :
 
Switch# sh access-list access-serveur
     10 permit ip 10.250.30.0 0.0.0.255 any log (90242 matches)
     20 permit tcp 10.250.30.0 0.0.0.255 any established
 
J'ai rajouté les lignes suivantes :
 
     30 permit udp any any eq netbios-dgm
     40 permit udp any any eq netbios-ns
     50 permit udp any any eq netbios-ss
 
Voici donc mon la visu de mon ACL :
 
Switch# show ip access-list access-serveur
    Extended IP access list access-serveur
     10 permit ip 10.250.30.0 0.0.0.255 any log (246908 matches)
     20 permit tcp 10.250.30.0 0.0.0.255 any established
     30 permit udp any any eq netbios-dgm (31 matches)
     40 permit udp any any eq netbios-ns (34 matches)
     50 permit udp any any eq netbios-ss
 
Même après les règles ci-dessous, je n'arrive pas toujours pas à accéder au Partage de mon serveur (Vlan serveur) depuis mon Poste (Vlan DATA).
 
Que manque-t-il svp ?
Merci d'avance !! :)

Reply

Marsh Posté le 15-06-2012 à 13:20:22    

Fais tourner un sniffeur et regarde ce qui passe et ce qui ne passe pas.


---------------
"Parceque toi tu fracasses du migrant à la batte de baseball, c'est ça ?" - Backbone-
Reply

Marsh Posté le 15-06-2012 à 13:59:03    

scyrus87 a écrit :

Merci Statoon54 pour ton suivi et ton aide !!!!
 
Alors après avoir modifié et appliqué mon ACL (que j'ai renommé en "access-serveur pour bien l'identifier pour moi la  suite), j'arrive bien à pinguer mes serveurs depuis le Vlan DATA. En revanche, le partage ne fonctionne toujours pas. Il doit donc manquer des protocoles je pense (137 à 139 & 445)
 
Voici mon ACL actuellement :
 
Switch# sh access-list access-serveur
     10 permit ip 10.250.30.0 0.0.0.255 any log (90242 matches)
     20 permit tcp 10.250.30.0 0.0.0.255 any established
 
J'ai rajouté les lignes suivantes :
 
     30 permit udp any any eq netbios-dgm
     40 permit udp any any eq netbios-ns
     50 permit udp any any eq netbios-ss
 
Voici donc mon la visu de mon ACL :
 
Switch# show ip access-list access-serveur
    Extended IP access list access-serveur
     10 permit ip 10.250.30.0 0.0.0.255 any log (246908 matches)
     20 permit tcp 10.250.30.0 0.0.0.255 any established
     30 permit udp any any eq netbios-dgm (31 matches)
     40 permit udp any any eq netbios-ns (34 matches)
     50 permit udp any any eq netbios-ss
 
Même après les règles ci-dessous, je n'arrive pas toujours pas à accéder au Partage de mon serveur (Vlan serveur) depuis mon Poste (Vlan DATA).
 
Que manque-t-il svp ?
Merci d'avance !! :)


 
Les règles que tu as ajouté ne servent à rien , les sessions SMB sont établies sur le port 445 ou 139 , si l’accès au partage ne fonctionne pas , c'est autre chose.
 

Reply

Marsh Posté le 15-06-2012 à 14:14:27    

J'ai sniffer le réseau via Wireshark pour savoir quel protocoles/requêtes étaient utilisés et voilà ce qu'il en ressort :
 
 
SOURCE > DESTINATION
 
- TCP 4586 > microsoft-ds (445)
- TCP 4587 > netbios-ssn (139)
- TCP 4647 > microsoft-ds (445)
- TCP 4648 > netbios-ssn (139)
 
J'ai donc modifié mon ACL comme suit pour voir le résultat (qui est toujours négatif grr) :
 
Switch# show ip access-list access-serveur
    Extended IP access list access-serveur  
     10 permit ip 10.250.30.0 0.0.0.255 any log (1300596 matches)  
     20 permit tcp 10.250.30.0 0.0.0.255 any established  
     30 permit tcp any any eq 139
     40 permit tcp any any eq 445
     50 permit udp any any eq netbios-ns
     60 permit udp any any eq netbios-dgm
 
Si le problème n'est pas réseau, de quel ordre peut-il être ? Car les serveurs/machines qui sont dans le même Vlan arrive bien à ouvrir le partage donc pourquoi celles (machines) qui ne sont pas dans le même Vlan n'y arrive pas ?

Message cité 1 fois
Message édité par scyrus87 le 15-06-2012 à 16:58:31
Reply

Marsh Posté le 15-06-2012 à 18:37:56    

scyrus87 a écrit :

J'ai sniffer le réseau via Wireshark pour savoir quel protocoles/requêtes étaient utilisés et voilà ce qu'il en ressort :

 


SOURCE > DESTINATION

 

- TCP 4586 > microsoft-ds (445)
- TCP 4587 > netbios-ssn (139)
- TCP 4647 > microsoft-ds (445)
- TCP 4648 > netbios-ssn (139)

 

J'ai donc modifié mon ACL comme suit pour voir le résultat (qui est toujours négatif grr) :

 

Switch# show ip access-list access-serveur
    Extended IP access list access-serveur
     10 permit ip 10.250.30.0 0.0.0.255 any log (1300596 matches)
     20 permit tcp 10.250.30.0 0.0.0.255 any established
     30 permit tcp any any eq 139
     40 permit tcp any any eq 445
     50 permit udp any any eq netbios-ns
     60 permit udp any any eq netbios-dgm

 

Si le problème n'est pas réseau, de quel ordre peut-il être ? Car les serveurs/machines qui sont dans le même Vlan arrive bien à ouvrir le partage donc pourquoi celles (machines) qui ne sont pas dans le même Vlan n'y arrive pas ?

 

Quand je disais que les Acls 30-40-50-60 te servait à rien , permit ip comprend les protocoles tcp et udp , donc ton problème est pas la .
Tu as bien mis la passerelle sur l'autre vlan pour tes clients . Pareil pour tes serveurs de leur coté ?
Quand tu accèdes au partage tu utilises quoi comme chemin unc .

 

L'analyse des trames entre le client et le serveur t'en diront plus si c'est juste un problème d’accès au partage .

  



Message édité par statoon54 le 15-06-2012 à 18:51:17
Reply

Marsh Posté le 19-06-2012 à 11:43:02    

Ah, je pensais qu'il y avait une erreur d'écriture dans les lignes 30-40-50-60... Autant pour moi.
 
En revanche, mes compteurs de log augmente bien...
 
Extended IP access list acces-serveur
    10 permit ip 10.250.30.0 0.0.0.255 any log (43617145 matches)
    20 permit tcp 10.250.30.0 0.0.0.255 any established
    30 permit tcp any any eq 139
    40 permit tcp any any eq 445
    50 permit udp any any eq netbios-ns (5270 matches)
    60 permit udp any any eq netbios-dgm (11815 matches)
 
Sur mes machines, j'ai bien mis les adresse IP, MASK, GATEWAY correspondant à leur Vlan respectifs... C'est-à-dire :
 
poste client = adresse IP / MASK / GATEWAY du Vlan DATA
serveur = adresse IP / MASK / GATEWAY du Vlan SERVEUR
 
Il y a un truc que je ne comprend pas là ... Surtout que le routage inter-vlan est bien fait entre les 2Vlans puisqu'il ping l'un vers l'autre

Reply

Marsh Posté le 21-06-2012 à 12:09:34    

Bonjour,
 
Problème résolu après avoir coupé le parefeu du serveur mais je n'explique pas pourquoi une machine du même Vlan arrive à accéder au partage même en ayant le PareFeu d'activé sur le serveur...
 
Ce problème ne venait donc pas de l'ACL en question.
 
MERCI en tout cas à Statoon54 et Dreamer18 pour votre support sur le sujet !!! :)


Message édité par scyrus87 le 21-06-2012 à 12:10:33
Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed