🛡️

Exemple — ACL Étendue

Cisco IOS — Filtrage source + destination + protocole + port · ACL nommées étendues · Packet Tracer

📚 Matière
Cyber-Sécurité
📅 Date
27 août 2025
☑️ État
Terminé
🔧 Outil
Cisco Packet Tracer
🔁 Type ACL
Étendue (100–199) Source + Dest + Proto + Port
📌
Règle d'or : une ACL étendue filtre sur source + destination + protocole + port. Elle se place au plus près de la source pour éviter que le trafic bloqué traverse inutilement le réseau.
📋 Table des matières
§0Schéma logique du réseau Étape 1Bloquer tout trafic entre 192.168.12.0 et 192.168.22.0 Étape 2Autoriser uniquement HTTP depuis 192.168.11.0/24 Étape 3Autoriser uniquement les pings entre deux réseaux Tableau récapitulatif 📚Conclusion — ACL Standard vs Étendue
🗺️
Schéma logique du réseau
4 LANs interconnectés via un routeur GigabitEthernet
Topologie ACL Étendue — Routeur + 4 LANs · G0/0 à G0/3 Routeur G0/0 · G0/1 G0/2 · G0/3 Toutes ACL ici LAN 1 — PC4 192.168.11.0/24 PC11 : .11.1 · GW .254 G0/0 LAN 2 — PC3 192.168.12.0/24 PC12 : .12.1 · GW .254 G0/1 LAN 3 192.168.21.0/24 PC21 : .21.1 · GW .254 G0/2 LAN 4 — Srv Web 192.168.22.0/24 PC22 : .22.1 · SRV : .100 G0/3 §1 BLOCK_12_TO_22 G0/1 in — deny ip .12→.22 §2 ACCESS_HTTP G0/0 in — permit tcp eq 80/443 §3 ALLOW_ICMP G0/0 in — permit icmp echo
Interface RouteurRéseauDescription
G0/0192.168.11.0/24LAN 1 — PC4
G0/1192.168.12.0/24LAN 2 — PC3
G0/2192.168.21.0/24LAN 3
G0/3192.168.22.0/24LAN Serveur Web (100)
⚠️
ACL étendue vs standard :
Standard : filtre uniquement sur l'IP source → placée près de la destination
Étendue : filtre sur source + destination + protocole + port → placée près de la source
01
🚫 Bloquer tout trafic entre 192.168.12.0 et 192.168.22.0
ACL nommée : BLOCK_12_TO_22 — appliquée en entrée sur G0/1
deny ip BLOCK_12_TO_22 G0/1 — in

Bloquer tout trafic IP entre LAN 2 (192.168.12.0) et le serveur Web (192.168.22.0).

Cisco IOS — Routeur
conf t

! Créer l'ACL étendue nommée
ip access-list extended BLOCK_12_TO_22
  deny   ip 192.168.12.0 0.0.0.255  192.168.22.0 0.0.0.255
  permit ip any any

! Appliquer en entrée sur G0/1 (LAN 2, près de la source)
interface g0/1
  ip access-group BLOCK_12_TO_22 in

Explication des règles

RègleEffet
deny ip 192.168.12.0 0.0.0.255 192.168.22.0 0.0.0.255Bloque tout trafic IP de LAN 2 vers le serveur Web
permit ip any anyAutorise tout le reste — sans cette règle, tout serait bloqué (implicit deny)
ip access-group ... inApplique l'ACL en entrée sur l'interface (trafic venant des PC vers le routeur)

Tests de validation

PC réseau 192.168.12.0 → ping 192.168.22.100 — Échec (bloqué par ACL)
PC réseau 192.168.11.0 → ping 192.168.22.100 — Réussit (autre réseau, non bloqué)
02
🌐 Autoriser uniquement HTTP depuis 192.168.11.0/24
ACL nommée : ACCESS_HTTP — port 80 (www) uniquement
permit tcp … eq www ACCESS_HTTP G0/0 — in

Seul le trafic HTTP (port 80) depuis 192.168.11.0/24 est autorisé. Le ping et le FTP sont bloqués.

Cisco IOS — Routeur (option A)
conf t
ip access-list extended ACCESS_HTTP
  permit tcp 192.168.11.0 0.0.0.255 any eq www
  deny   ip  any any

! Appliquer en entrée sur G0/0 (réseau 192.168.11.0)
interface g0/0
  ip access-group ACCESS_HTTP in
established WEB_RETOUR Variante — trafic retour TCP

Alternative : established autorise uniquement les réponses TCP (sessions déjà établies), pas les nouvelles connexions entrantes.

Cisco IOS — Routeur (option B)
conf t
ip access-list extended WEB_RETOUR
  permit tcp 192.168.11.0 0.0.0.255 established
  deny   ip  any any

interface gi0/0
  ip access-group WEB_RETOUR out

Tests de validation

PC 192.168.11.0 → ping 192.168.22.100 — Échec (ICMP bloqué)
PC 192.168.11.0 → Web Browser http://192.168.22.100 — Page Web OK
PC 192.168.11.0 → ftp 192.168.22.100 — Échec (FTP bloqué)
03
🏓 Autoriser uniquement les pings entre deux réseaux
ACL nommée : ALLOW_ICMP — echo + echo-reply · 192.168.11.0 ↔ 192.168.21.0
💡
Un ping = 2 messages ICMP : echo (requête) + echo-reply (réponse). Il faut autoriser les deux pour que le ping fonctionne dans les deux sens.
permit icmp echo ALLOW_ICMP G0/0 — in

Autorise uniquement les pings entre 192.168.11.0/24 et 192.168.21.0/24 dans les deux sens.

Cisco IOS — Routeur
conf t
ip access-list extended ALLOW_ICMP
  permit icmp 192.168.11.0 0.0.0.255 192.168.21.0 0.0.0.255 echo
  permit icmp 192.168.21.0 0.0.0.255 192.168.11.0 0.0.0.255 echo-reply
  deny   ip  any any

! Appliquer en entrée sur G0/0 (réseau 192.168.11.0)
interface g0/0
  ip access-group ALLOW_ICMP in

Explication

Mot-clé ICMPRôle
echoAutorise la requête ping (envoyée par la source)
echo-replyAutorise la réponse ping (renvoyée par la destination)

Tests de validation

Ping 192.168.11.x ↔ 192.168.21.x — Réussit
HTTP/FTP/Telnet — Bloqué
📋
Tableau récapitulatif des 3 étapes
ÉtapeSourceDestinationAutoriséRefuséInterface
1 192.168.12.0 192.168.22.0 ❌ Tout bloqué Tout G0/1 in
2 192.168.11.0 Any HTTP (port 80) Ping, FTP, autres G0/0 in
3 192.168.11.0 192.168.21.0 ICMP (ping) HTTP, FTP, tout le reste G0/0 in
Conclusion — ACL Standard vs Étendue
Points clés à retenir pour l'examen oral
CritèreACL Standard (1–99)ACL Étendue (100–199)
Filtre surIP source uniquementSource + Destination + Protocole + Port
PlacementPrès de la destinationPrès de la source
Numéros1–99 (ou nommée)100–199 (ou nommée)
PrécisionGrossièreFine (port, protocole)
ProtocolesIP uniquementIP, TCP, UDP, ICMP…
🎯
Workflow ACL étendue :
1. Identifier source, destination, protocole et port
2. Créer l'ACL : ip access-list extended NOM
3. Écrire les règles (du plus spécifique au plus général)
4. Toujours terminer par permit ip any any si nécessaire
5. Appliquer sur l'interface côté source : ip access-group NOM in
6. Vérifier : show access-lists

BTS SIO SISR — Cyber-Sécurité — ACL Étendue Cisco — Packet Tracer