Les ACLs sur CISCO (ACCESS LIST). Partie 2 : Les ACLs ETENDUES

Voici la seconde partie sur les ACLs où nous allons voir comment configurer les ACLs étendues sur un routeur CISCO.

Pour ceux qui n’ont pas vu la première partie voici le lien 🙂 :

https://savoiritetlab.com/index.php/2021/04/11/les-acls-sur-cisco-access-list-partie-1-acls-standard/

LE LAB : Nous allons avoir un réseau très simple pour ce lab. Un réseau admin(192.168.10.0/24), un réseau employés(192.168.40.0/24) et le réseau du serveur(172.16.50.0/24).

But du LAB : Il faut que seul le réseau admin puisse accèder en SSH au routeur. Il faut que le réseau admin puissent accèder à tous les services du serveur WEB (DNS et HTTP). Le réseau EMPLOYES ne pourra que pinguer et accèder au service HTTP du serveur WEB.

1 ère étape : Configuration de l’ACL étendue SSH_ROUTEUR

R1ACL2(config)#ip access-list extended SSH_ROUTEUR
R1ACL2(config-ext-nacl)#permit tcp 192.168.10.0 0.0.0.255 host 192.168.10.1 eq 22

J’aurorise le réseau admin (j’aurais pu aussi mettre que l’ip du PC admin) à accèder en SSH à mon routeur.

Etant donné que c’est une ACL étendu j’applique la règle au plus près de la source en « IN »(en entrée de l’interface):

R1ACL2(config)#interface gigabitEthernet 0/0
R1ACL2(config-if)#ip access-group SSH_ROUTEUR in 

Nous avons terminé pour la partie SSH on va s’occuper de la partie accès au serveur.

2 ème étape : Accès au serveur

Nous allons configurés 2 ACLsétendues car nous avons 2 interfaces.

Au niveau du réseau ADMIN (je vais réutiliser mon ACL SSH_ROUTEUR )

R1ACL2(config)#ip access-list extended SSH_ROUTEUR
R1ACL2(config-ext-nacl)#permit tcp 192.168.10.0 0.0.0.255 host 172.16.50.250 range www domain

J’autorise le réseau admin à interroger le port 53 et le port 80 de mon serveur.

Ensuite sur le réseau EMPLOYES :

R1ACL2(config)#ip access-list extended EMPLOYEStoSERVER
R1ACL2(config-ext-nacl)#permit tcp 192.168.40.0 0.0.0.255  host 172.16.50.250 eq 80

J’autorise le réseau EMPLOYES a interrogé mon serveur uniquement sur le port 80 (HTTP)

J’applique la règle ensuite sur mon interface :

R1ACL2(config)#interface gigabitEthernet 0/1
R1ACL2(config-if)#ip access-group EMPLOYEStoSERVER in

J’affiche la conf de mes ACLs pour vérifier que tout est ok :

R1ACL2#sh ip access-lists 
Extended IP access list SSH_ROUTEUR
    10 permit tcp 192.168.10.0 0.0.0.255 host 192.168.10.1 eq 22
    20 permit tcp 192.168.10.0 0.0.0.255 host 172.16.50.250 range domain www
Extended IP access list EMPLOYEStoSERVER
    10 permit tcp 192.168.40.0 0.0.0.255 host 172.16.50.250 eq www

Je fait aussi un show run pour voir si les règles sont bien appliqués sur les interfaces :

interface GigabitEthernet0/0
 ip address 192.168.10.1 255.255.255.0
 ip access-group ADMINtoSERVER in
 duplex auto
 speed auto
!
interface GigabitEthernet0/1
 ip address 192.168.40.1 255.255.255.0
 ip access-group EMPLOYEStoSERVER in
 duplex auto
 speed auto

Une fois terminé je peux tester mes règles sur mes différents réseaux :

Depuis le réseau ADMIN le DNS est OK :

Et je parviens à accèder en HTTP à mon serveur :

En revanche sur mon réseau EMPLOYES je ne parviens pas à interoogé mon serveur DNS car je ne l’ai pas autorisé :

L’accès WEB lui en revanche est OK car je l’ai explicitement autorisé.

Fin de ce tuto n’hésitez à laisser un commentaire et me dire ce que vous en pensez à bientôt 😀 .