2 votes

Yo Yo avatar

que signifie le "ip" dans les ACLs ?

Demandé el 30 de Novembre, 2020
Quand la question a-t-elle été
901 affichage
Nombre de visites la question a
2 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

J'ai vu une commande ACLs qui est :

deny ip 10.0.0.0 0.255.255.255 any

Je suis confus, est-ce que "ip" signifie l'adresse IP ou le trafic "TCP/IP" ? Cette commande signifie-t-elle que tout paquet qui n'est pas du trafic IP de l'adresse source 10.0.0.0 avec le masque de remplacement 0.255.255.255 sera rejeté ?

Merci.

Demandé el 30 de Novembre, 2020 par Yo Yo

Réponses

Trop de publicités?

10voto

Tommiie avatar
Tommiie Points 5467

Il ressemble à un ACL d'un routeur ou d'un commutateur Cisco. Décomposons-la :

  1. deny vs. permit est l'action à entreprendre lorsque le reste de la règle correspond. Dans ce cas, vous voulez bloquer ou abandonner les paquets qui correspondent.
  2. ip signifie tous les paquets IP. Cela inclut TCP, UDP, GRE, IPsec... Cependant, cela n'inclut pas, par exemple, les paquets IS-IS car ils n'utilisent pas IP.
  3. 10.0.0.0 0.255.255.255 est la plage d'adresses source constituée d'une adresse réseau ( 10.0.0.0 ) et un masque joker ( 0.255.255.255 ). Considérez le masque générique comme l'inverse d'un masque de sous-réseau. En fait, cela signifie les paquets avec leur adresse IP source dans le réseau 10.0.0.0/8 .
  4. any indique l'adresse IP de destination : n'importe quoi peut aller ici, elle n'est donc pas vérifiée.

Par exemple, pour autoriser le trafic HTTP (TCP/80) de 10.1.0.0/16 à 203.0.113.80, vous obtenez cette règle :

permit  tcp  10.1.0.0  0.0.255.255  203.0.113.80  0.0.0.0  80
Répondu el 30 de Novembre, 2020 par Tommiie (5467 Points )

2voto

Barnabas Busa avatar
Barnabas Busa Points 697

IP signifie en effet "plage d'adresses IP". La plage est définie à l'aide du réseau que vous définissez + le caractère de remplacement que vous définissez.

Dans votre cas, il s'agira d'une plage comprise entre 10.0.0.0 et 10.255.255.255.

Ainsi, il rejettera tout le trafic réseau dont l'adresse IP source se situe dans la plage définie ci-dessus.

Il est nécessaire de déclarer l'IP car auparavant, différents types de trafic réseau pouvaient être filtrés. Aujourd'hui, la plupart du trafic est considéré comme du trafic IP. Elle est simplement conservée comme un indicateur traditionnel du type de trafic qui doit être filtré.

Les ACL sont des implémentations de très bas niveau des "pare-feu". Elles examinent les informations de l'en-tête des paquets réseau et les font correspondre en fonction des règles définies.

Répondu el 30 de Novembre, 2020 par Barnabas Busa (697 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X