docTP 8 : Firewall.
download 
Plainte Transcription
TP 8 : Firewall.
TP 8 : Firewall. Questions . Que signifie host-unreachable ? Il s'agit d'un message envoyé par le dernier routeur, lorsqu'il n'arrive pas à trouver une machine par exemple. Ici, l'ACLe a interdit les ping (qui a le protocol ICMP) fait par des ordinateurs externes, vers les ordinateurs dans le réseau que l'on a. Qu’exécute chaque acl ? access-list 101 deny icmp any any host-unreachable La première ACLe interdit les ping (qui a le protocol ICMP) fait par des ordinateurs externes, vers les ordinateurs dans le réseau que l'on a. access-list 101 permit tcp any any eq www La seconde ACLe permet le transfert tcp (avec le protocol http sur le port 80) de toutes les autres machines lorsque leur source est égale à www. Donc aux sites web. → Mise en place et exécution de l'ACLe. Router(config)#access-list 101 deny icmp any any host-unreachable Router(config)#access-list 101 permit tcp any any eq www Router(config)#int fa 0/1 Router(config-if)#ip access-group 101 out Router(config-if)#end → Vérification de la création de l'ACLe. Router#sh ac Extended IP access list 101 deny icmp any any host-unreachable permit tcp any any eq www Router# Router# Comment peut-on tester la bonne exécution de l’acl ? Avant la mise en place de la première ACLe, toutes les machines, le switch, le routeur et le serveur pouvaient communiquer entre eux. Pour tester la bonne exécution de l'ACLe, nous pouvons tenter de pinger le serveur avec les trois machines, et faire l'inverse ensuite, c'est-à-dire de pinger les trois machines avec le serveur, cela ne fonctionne pas, car nous avons interdit les communications avec les pings (avec le protocole ICMP), dans cette ACLe. Celle-ci fonctionne correctement. Pour la seconde ACLe, il faut utiliser le serveur web pour la tester car nous avons autorisé les communications avec le protocole http. Cette ACLe fonctionne correctement. Ajoutez un réseau en 192.168.2.0/24 avec un poste. Comment faire en sorte que ce réseau ne puisse pas communiquer avec le réseau 192.168.1.0/24 et qu’il puisse communiquer avec le serveur ? Pour que ce réseau ne communique pas avec le réseau 192.168.1.0/24 mais qu'il puisse communiquer avec le serveur, il faut rajouter une ACLe. → Mise en place et exécution de l'ACLe. Router(config)#access-list 101 deny icmp 192.168.1.0 0.0.0.0. 192.168.2.0 0.0.0.0. Router(config)#access-list 101 permit icmp any any eq www Router(config)#int fa 0/1 Router(config-if)#ip access-group 101 out Router(config-if)#end
