annuler
Affichage des résultats de 
Rechercher plutôt 
Vouliez-vous dire : 
cancel
750
Visites
0
Compliment
5
Réponses

Deny icmp en local via un ASA 5505

moudjebpro64207
Beginner
Beginner

Salut, j'ai besoin d'utiliser un firewall ASA 5505 pour un projet et pour m'y initier j'essaye d'abord de bloquer le protocole icmp au sein d'un réseau local. J'ai donc interconnecté deux PC via le firewall PC1(e0/1-192.168.1.2/24)----ASA----PC2(e0/2192.168.1.3/24). Le ping entre les deux PC, j'ajoute ensuite ma règle :

access-list 101 deny icmp any any 

access-group 101 in interface inside

 

Voici ma run conf (conf générée par le factory-default) :

-------------------------------------------------------------

ciscoasa(config)# sh run
: Saved
:
: Serial Number: JMX1420Z109
: Hardware: ASA5505, 512 MB RAM, CPU Geode 500 MHz
:
ASA Version 9.2(4)
!
hostname ciscoasa
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Ethernet0/0
switchport access vlan 2
!
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
interface Vlan1
nameif inside
security-level 100
ip address 192.168.1.1 255.255.255.0
!
interface Vlan2
nameif outside
security-level 0
no ip address
!
ftp mode passive
object network obj_any
subnet 0.0.0.0 0.0.0.0
object service pingreply
service icmp echo-reply
object service pingreq
service icmp echo
object-group icmp-type DM_INLINE_ICMP_1
icmp-object echo
icmp-object echo-reply
access-list inside_access_in extended deny icmp any any object-group DM_INLINE_ICMP_1
access-list inside_access_in_1 extended deny icmp any any
access-list 101 extended deny icmp any any
pager lines 24
logging asdm informational
mtu outside 1500
mtu inside 1500
no failover
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
no arp permit-nonconnected
!
object network obj_any
nat (inside,outside) dynamic interface
!
nat (inside,outside) after-auto source dynamic any interface
access-group 101 in interface inside

-----------------------------------------------------------------------------

 

Résultat :

Le ping fonctionne quand même, j'ai également essayé d'ajouter les règles par l'interface web ASDM mais cela ne fonctionne toujours pas. Quelqu'un saurait donc comment ajuster ma conf pour que mes règles soient bien prises en compte ?

5 RÉPONSES 5

Francesco Molino
VIP Mentor VIP Mentor
VIP Mentor

Bonjour

 

Le souci est que ces 2 PCs sont sur le même vlan donc l'access-list ne devrait pas s'appliquer.

Est ce que vous voyez le traffic icmp entre ces 2 hosts loggués dans l'asa?


Thanks
Francesco
PS: Please don't forget to rate and select as validated answer if this answered your question

Dans ce cas là faudrait-il assigner le deuxième PC à mon vlan OUTSIDE afin que l'ACL s'applique entre mon PC se trouvant dans le vlan INSIDE et celui en OUTSIDE ? Et ne faudrait-il pas ajouter un routeur pour assurer le routage inter vlan ou le fait qu'elles soient directement connectées à l'ASA suffit ? 

Vous n'êtes pas obligé de le mettre dans le vlan outside. Vous pouvez créer une seconde zone inside.
Si les default gateway de vos vlans se trouvent sur l'asa, vous n'avez pas besoin de routeurs supplémentaires.
Avez-vous un design de votre réseau pour confirmer si un routeur supplémentaire est nécessaire ou pas?

Thanks
Francesco
PS: Please don't forget to rate and select as validated answer if this answered your question

Bonjour,

 

désolé de mettre autant de temps pour répondre alors que vous m'aidez mais j'étais plongé dans d'autres travaux. Du coup entre deux cours j'ai gribouillé une topologie rapide pour schématiser un réseau local ultra simplifié qui nous servirait de maquette à présenter pour expliquer le principe du filtrage sur un CISCO ASA (en commençant par du filtrage icmp comme je l'avais dit).

La logique est la mais l'acl est appliqué à l'interface inside que je ne vois pas sur votre schéma.

Thanks
Francesco
PS: Please don't forget to rate and select as validated answer if this answered your question
Mise en Route
Bienvenue dans la Communauté !

La communauté est un hub pour vous connecter avec vos pairs et les spécialistes Cisco, pour demander de l'aide, partager votre expertise, développer votre réseau et évoluer professionnellement.
Vous êtes un nouvel arrivant ? Cliquez ici pour en savoir plus.

Nous voulons que votre navigation soit la meilleure, donc vous trouverez des liens pour vous aider à être rapidement familiarisé avec la Communauté Cisco :