Acheter ou Renouveler
Acheter ou Renouveler
annuler
Activer les suggestions
La fonction de suggestion automatique permet d'affiner rapidement votre recherche en suggérant des correspondances possibles au fur et à mesure de la frappe.
Affichage des résultats de 
Rechercher plutôt 
Vouliez-vous dire : 
cancel
Nouveau sujet
1716
Visites
0
Compliment
5
Réponses

Deny icmp en local via un ASA 5505

moudjebpro64207
Level 1
Level 1

le ‎22-01-2020 01:55 AM

Salut, j'ai besoin d'utiliser un firewall ASA 5505 pour un projet et pour m'y initier j'essaye d'abord de bloquer le protocole icmp au sein d'un réseau local. J'ai donc interconnecté deux PC via le firewall PC1(e0/1-192.168.1.2/24)----ASA----PC2(e0/2192.168.1.3/24). Le ping entre les deux PC, j'ajoute ensuite ma règle :

access-list 101 deny icmp any any 

access-group 101 in interface inside

 

Voici ma run conf (conf générée par le factory-default) :

-------------------------------------------------------------

ciscoasa(config)# sh run
: Saved
:
: Serial Number: JMX1420Z109
: Hardware: ASA5505, 512 MB RAM, CPU Geode 500 MHz
:
ASA Version 9.2(4)
!
hostname ciscoasa
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Ethernet0/0
switchport access vlan 2
!
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
interface Vlan1
nameif inside
security-level 100
ip address 192.168.1.1 255.255.255.0
!
interface Vlan2
nameif outside
security-level 0
no ip address
!
ftp mode passive
object network obj_any
subnet 0.0.0.0 0.0.0.0
object service pingreply
service icmp echo-reply
object service pingreq
service icmp echo
object-group icmp-type DM_INLINE_ICMP_1
icmp-object echo
icmp-object echo-reply
access-list inside_access_in extended deny icmp any any object-group DM_INLINE_ICMP_1
access-list inside_access_in_1 extended deny icmp any any
access-list 101 extended deny icmp any any
pager lines 24
logging asdm informational
mtu outside 1500
mtu inside 1500
no failover
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
no arp permit-nonconnected
!
object network obj_any
nat (inside,outside) dynamic interface
!
nat (inside,outside) after-auto source dynamic any interface
access-group 101 in interface inside

-----------------------------------------------------------------------------

 

Résultat :

Le ping fonctionne quand même, j'ai également essayé d'ajouter les règles par l'interface web ASDM mais cela ne fonctionne toujours pas. Quelqu'un saurait donc comment ajuster ma conf pour que mes règles soient bien prises en compte ?

Étiquettes :
0 Compliments
5 RÉPONSES 5

Francesco Molino
VIP Alumni
VIP Alumni

le ‎23-01-2020 01:06 PM

Bonjour

 

Le souci est que ces 2 PCs sont sur le même vlan donc l'access-list ne devrait pas s'appliquer.

Est ce que vous voyez le traffic icmp entre ces 2 hosts loggués dans l'asa?


Thanks
Francesco
PS: Please don't forget to rate and select as validated answer if this answered your question
0 Compliments

moudjebpro64207
Level 1
Level 1
En réponse à Francesco Molino

le ‎24-01-2020 01:43 AM

Dans ce cas là faudrait-il assigner le deuxième PC à mon vlan OUTSIDE afin que l'ACL s'applique entre mon PC se trouvant dans le vlan INSIDE et celui en OUTSIDE ? Et ne faudrait-il pas ajouter un routeur pour assurer le routage inter vlan ou le fait qu'elles soient directement connectées à l'ASA suffit ? 

0 Compliments

Francesco Molino
VIP Alumni
VIP Alumni
En réponse à moudjebpro64207

le ‎24-01-2020 06:29 PM

Vous n'êtes pas obligé de le mettre dans le vlan outside. Vous pouvez créer une seconde zone inside.
Si les default gateway de vos vlans se trouvent sur l'asa, vous n'avez pas besoin de routeurs supplémentaires.
Avez-vous un design de votre réseau pour confirmer si un routeur supplémentaire est nécessaire ou pas?

Thanks
Francesco
PS: Please don't forget to rate and select as validated answer if this answered your question
0 Compliments

moudjebpro64207
Level 1
Level 1
En réponse à Francesco Molino

le ‎06-02-2020 04:41 AM

Bonjour,

 

désolé de mettre autant de temps pour répondre alors que vous m'aidez mais j'étais plongé dans d'autres travaux. Du coup entre deux cours j'ai gribouillé une topologie rapide pour schématiser un réseau local ultra simplifié qui nous servirait de maquette à présenter pour expliquer le principe du filtrage sur un CISCO ASA (en commençant par du filtrage icmp comme je l'avais dit).

Aperçu du fichier
78 KB
0 Compliments

Francesco Molino
VIP Alumni
VIP Alumni
En réponse à moudjebpro64207

le ‎06-02-2020 07:02 PM

La logique est la mais l'acl est appliqué à l'interface inside que je ne vois pas sur votre schéma.

Thanks
Francesco
PS: Please don't forget to rate and select as validated answer if this answered your question
0 Compliments

Liens rapides

Parcourez les liens directs de la Communauté et profitez de contenus personnalisés en français

Partager un document Rédiger un blog Vidéos Sécurité
Customers Also Viewed These Support Documents