ACLs

FAQ

🔐 Bloque l'accès HTTP depuis un certain réseau.

Création de l'ACL :

# ACL étendue
ip access-list extended BLOCK_HTTP
  deny tcp @RESEAU_SOURCE 0.0.0.255 any eq 80
  deny tcp @RESEAU_SOURCE 0.0.0.255 any eq 443
  permit ip any any

Application de l'ACL :

# Sur l'interface
interface GigabitEthernet0/1
  ip access-group BLOCK_HTTP in

Vérification :

show access-lists
show ip interface GigabitEthernet0/1

Points importants :
- Ordre des règles important
- Règle de fin implicite
- Impact sur les performances
- Documentation nécessaire

Pourquoi place-t-on une ACL en entrée ou en sortie ?

ACL en entrée (in) :
- Filtre le trafic avant le routage
- Économise les ressources
- Plus efficace pour le filtrage
- Meilleure sécurité
ACL en sortie (out) :
- Filtre le trafic après le routage
- Permet le filtrage par interface
- Plus flexible
- Meilleur contrôle du trafic sortant
Critères de choix :
- Type de trafic à filtrer
- Performance souhaitée
- Complexité des règles
- Ressources disponibles
Bonnes pratiques :
- Documenter le choix
- Tester l'impact
- Surveiller les performances
- Maintenir à jour

Exemples Pratiques

Exemples SAM

VLAN Comptabilité (192.168.2.0/27)


! Règles pour le VLAN Comptabilité
ip access-list extended VLAN_COMPTA
    ! Accès aux services Active Directory
    permit tcp 192.168.2.0 0.0.0.31 host 192.168.2.140 eq 389    ! LDAP
    permit tcp 192.168.2.0 0.0.0.31 host 192.168.2.140 eq 88     ! Kerberos
    permit udp 192.168.2.0 0.0.0.31 host 192.168.2.140 eq 53     ! DNS
    permit tcp 192.168.2.0 0.0.0.31 host 192.168.2.140 eq 135    ! RPC
    permit udp 192.168.2.0 0.0.0.31 host 192.168.2.140 eq 137    ! NetBIOS
    permit udp 192.168.2.0 0.0.0.31 host 192.168.2.140 eq 138    ! NetBIOS
    permit udp 192.168.2.0 0.0.0.31 host 192.168.2.140 eq 139    ! NetBIOS
    permit udp 192.168.2.0 0.0.0.31 host 192.168.2.140 eq 123    ! Windows Time
    permit tcp 192.168.2.0 0.0.0.31 host 192.168.2.140 eq 445    ! SMB
    permit tcp 192.168.2.0 0.0.0.31 host 192.168.2.140 range 49152 65535  ! Ports dynamiques

    ! Accès au serveur mail
    permit tcp 192.168.2.0 0.0.0.31 host 10.0.0.15 eq 143    ! IMAP
    permit tcp 192.168.2.0 0.0.0.31 host 10.0.0.15 eq 587    ! SMTP

    ! Accès aux services web
    permit tcp 192.168.2.0 0.0.0.31 host 192.168.2.10 eq 443  ! GLPI (HTTPS)
    permit tcp 192.168.2.0 0.0.0.31 host 192.168.2.11 eq 80   ! Apache (HTTP)

    ! Règles DHCP
    permit udp any host 192.168.2.140 eq 68    ! DHCP Client
    permit udp host 192.168.2.140 any eq 67    ! DHCP Server

VLAN Direction (192.168.2.32/27)


! Règles pour le VLAN Direction
ip access-list extended VLAN_DIRECTION
    ! Accès aux services Active Directory
    permit tcp 192.168.2.32 0.0.0.31 host 192.168.2.140 eq 389    ! LDAP
    permit tcp 192.168.2.32 0.0.0.31 host 192.168.2.140 eq 88     ! Kerberos
    permit udp 192.168.2.32 0.0.0.31 host 192.168.2.140 eq 53     ! DNS
    permit tcp 192.168.2.32 0.0.0.31 host 192.168.2.140 eq 135    ! RPC
    permit udp 192.168.2.32 0.0.0.31 host 192.168.2.140 eq 137    ! NetBIOS
    permit udp 192.168.2.32 0.0.0.31 host 192.168.2.140 eq 138    ! NetBIOS
    permit udp 192.168.2.32 0.0.0.31 host 192.168.2.140 eq 139    ! NetBIOS
    permit udp 192.168.2.32 0.0.0.31 host 192.168.2.140 eq 123    ! Windows Time
    permit tcp 192.168.2.32 0.0.0.31 host 192.168.2.140 eq 445    ! SMB
    permit tcp 192.168.2.32 0.0.0.31 host 192.168.2.140 range 49152 65535  ! Ports dynamiques

    ! Accès au serveur mail
    permit tcp 192.168.2.32 0.0.0.31 host 10.0.0.15 eq 143    ! IMAP
    permit tcp 192.168.2.32 0.0.0.31 host 10.0.0.15 eq 587    ! SMTP

    ! Accès aux services web
    permit tcp 192.168.2.32 0.0.0.31 host 192.168.2.10 eq 443  ! GLPI (HTTPS)
    permit tcp 192.168.2.32 0.0.0.31 host 192.168.2.12 eq 443  ! Zabbix (HTTPS)
    permit tcp 192.168.2.32 0.0.0.31 host 192.168.2.11 eq 80   ! Apache (HTTP)

    ! Règles DHCP
    permit udp any host 192.168.2.140 eq 68    ! DHCP Client
    permit udp host 192.168.2.140 any eq 67    ! DHCP Server

VLAN Vente (192.168.2.96/27)


! Règles pour le VLAN Vente
ip access-list extended VLAN_VENTE
    ! Accès aux services Active Directory
    permit tcp 192.168.2.96 0.0.0.31 host 192.168.2.140 eq 389    ! LDAP
    permit tcp 192.168.2.96 0.0.0.31 host 192.168.2.140 eq 88     ! Kerberos
    permit udp 192.168.2.96 0.0.0.31 host 192.168.2.140 eq 53     ! DNS
    permit tcp 192.168.2.96 0.0.0.31 host 192.168.2.140 eq 135    ! RPC
    permit udp 192.168.2.96 0.0.0.31 host 192.168.2.140 eq 137    ! NetBIOS
    permit udp 192.168.2.96 0.0.0.31 host 192.168.2.140 eq 138    ! NetBIOS
    permit udp 192.168.2.96 0.0.0.31 host 192.168.2.140 eq 139    ! NetBIOS
    permit udp 192.168.2.96 0.0.0.31 host 192.168.2.140 eq 123    ! Windows Time
    permit tcp 192.168.2.96 0.0.0.31 host 192.168.2.140 eq 445    ! SMB
    permit tcp 192.168.2.96 0.0.0.31 host 192.168.2.140 range 49152 65535  ! Ports dynamiques

    ! Accès au serveur mail
    permit tcp 192.168.2.96 0.0.0.31 host 10.0.0.15 eq 143    ! IMAP
    permit tcp 192.168.2.96 0.0.0.31 host 10.0.0.15 eq 587    ! SMTP

    ! Accès aux services web
    permit tcp 192.168.2.96 0.0.0.31 host 192.168.2.10 eq 443  ! GLPI (HTTPS)
    permit tcp 192.168.2.96 0.0.0.31 host 192.168.2.11 eq 80   ! Apache (HTTP)

VLAN Informatique (192.168.2.64/27)


! Règles pour le VLAN Informatique
ip access-list extended VLAN_INFO
    ! Accès aux services Active Directory
    permit tcp 192.168.2.64 0.0.0.31 host 192.168.2.140 eq 389    ! LDAP
    permit tcp 192.168.2.64 0.0.0.31 host 192.168.2.140 eq 88     ! Kerberos
    permit udp 192.168.2.64 0.0.0.31 host 192.168.2.140 eq 53     ! DNS
    permit tcp 192.168.2.64 0.0.0.31 host 192.168.2.140 eq 135    ! RPC
    permit udp 192.168.2.64 0.0.0.31 host 192.168.2.140 eq 137    ! NetBIOS
    permit udp 192.168.2.64 0.0.0.31 host 192.168.2.140 eq 138    ! NetBIOS
    permit udp 192.168.2.64 0.0.0.31 host 192.168.2.140 eq 139    ! NetBIOS
    permit udp 192.168.2.64 0.0.0.31 host 192.168.2.140 eq 123    ! Windows Time
    permit tcp 192.168.2.64 0.0.0.31 host 192.168.2.140 eq 445    ! SMB
    permit tcp 192.168.2.64 0.0.0.31 host 192.168.2.140 range 49152 65535  ! Ports dynamiques

    ! Accès au serveur mail
    permit tcp 192.168.2.64 0.0.0.31 host 10.0.0.15 eq 143    ! IMAP
    permit tcp 192.168.2.64 0.0.0.31 host 10.0.0.15 eq 587    ! SMTP

    ! Accès aux services web
    permit tcp 192.168.2.64 0.0.0.31 host 192.168.2.10 eq 443  ! GLPI (HTTPS)
    permit tcp 192.168.2.64 0.0.0.31 host 192.168.2.12 eq 443  ! Zabbix (HTTPS)
    permit tcp 192.168.2.64 0.0.0.31 host 192.168.2.11 eq 80   ! Apache (HTTP)

    ! Règles DHCP
    permit udp any host 192.168.2.140 eq 68    ! DHCP Client
    permit udp host 192.168.2.140 any eq 67    ! DHCP Server

    ! Accès Bureau à distance
    permit tcp 192.168.2.96 0.0.0.31 192.168.2.0 0.0.0.255 eq 3389  ! RDP

VLAN Serveur (192.168.2.128/27)


! Règles pour le VLAN Serveur
ip access-list extended VLAN_SERVEUR
    ! Accès aux services Active Directory
    permit tcp host 192.168.2.140 192.168.2.0 0.0.0.255 eq 389    ! LDAP
    permit tcp host 192.168.2.140 192.168.2.0 0.0.0.255 eq 88     ! Kerberos
    permit udp host 192.168.2.140 192.168.2.0 0.0.0.255 eq 53     ! DNS
    permit tcp host 192.168.2.140 192.168.2.0 0.0.0.255 eq 135    ! RPC
    permit udp host 192.168.2.140 192.168.2.0 0.0.0.255 eq 137    ! NetBIOS
    permit udp host 192.168.2.140 192.168.2.0 0.0.0.255 eq 138    ! NetBIOS
    permit udp host 192.168.2.140 192.168.2.0 0.0.0.255 eq 139    ! NetBIOS
    permit udp host 192.168.2.140 192.168.2.0 0.0.0.255 eq 123    ! Windows Time
    permit tcp host 192.168.2.140 192.168.2.0 0.0.0.255 eq 445    ! SMB
    permit tcp host 192.168.2.140 192.168.2.0 0.0.0.255 range 49152 65535  ! Ports dynamiques

    ! Accès au serveur mail
    permit tcp 192.168.2.128 0.0.0.31 host 10.0.0.15 eq 143    ! IMAP
    permit tcp 192.168.2.128 0.0.0.31 host 10.0.0.15 eq 587    ! SMTP

    ! Accès aux services web
    permit tcp host 192.168.2.10 192.168.2.0 0.0.0.255 eq 443  ! GLPI (HTTPS)
    permit tcp host 192.168.2.12 192.168.2.0 0.0.0.255 eq 443  ! Zabbix (HTTPS)
    permit tcp host 192.168.2.11 192.168.2.0 0.0.0.255 eq 80   ! Apache (HTTP)

    ! Règles DHCP
    permit udp host 192.168.2.140 192.168.2.0 0.0.0.255 eq 67    ! DHCP Server

    ! Accès Bureau à distance
    permit tcp 192.168.2.96 0.0.0.31 192.168.2.128 0.0.0.31 eq 3389  ! RDP