Mise en place d'une Access-list
Mise en place d'une Access-list (Acl) sur un pare-feu ou un routeur filtrant, est une liste d'adresses ou de ports autorisés ou interdits par le dispositif de filtrage.
ACL standard
access-list <ip-standard-access-list> permit <adresse-reseau> <masque-sous-reseau>
ip nat inside source list <ip-standard-access-list> interface <interface-ethernet> overload
Exemple :
access-list 10 permit 192.168.10.0 0.0.0.255
access-list 20 permit 192.168.20.0 0.0.0.255
ip nat inside source list 10 interface gigabitEthernet 0/1 overload
ip nat inside source list 20 interface gigabitEthernet 0/1 overload
ACL étendus :
ip access-list extended Vlan_20_Marketing
# Flux internes DHCP, DNS, Externe : Web
# DHCP : IPSR 0.0.0.0 PORT 68 // IPDST 255.255.255.255 PORT 67
# udp any eq 68 any eq 67
permit udp any eq bootpc any eq bootps
# DNS : IPSR PORT // IPDST PORT
permit udp 192.168.20.0 0.0.0.255 gt 1024 192.168.30.10 0.0.0.255 eq 53
# WEB Externe
permit tcp 192.168.20.0. 0.0.0.255 gt 1024 any eq 80
permit tcp 192.168.20.0. 0.0.0.255 gt 1024 any eq 443
Affichage de la running-config
ip access-list extended Vlan_20_Marketing
permit udp any eq bootpc any eq bootps
permit udp 192.168.20.0 0.0.0.255 gt 1024 192.168.30.0 0.0.0.255 eq domain
permit udp 192.168.20.0 0.0.0.255 gt 1024 0.0.0.10 255.255.255.0 eq www
permit udp 192.168.20.0 0.0.0.255 gt 1024 0.0.0.10 255.255.255.0 eq 443
deny ip any any
Application de l'access-list à l'interface
interface gigabitEthernet 0/0.20
ip access-group Vlan_20_Marketing out
ip access-group Vlan_20_Marketing in