Avez-vous un compte?
Une liste de contrôle d'accès (ACL) est une collection d'autorisation et refuse des conditions. Un ACL spécifie que des processus d'utilisateur ou de système sont accordé à accès aux ressources spécifiques. Un ACL peut bloquer toutes les tentatives injustifiées d'atteindre des ressources de réseau. Le problème dans cette situation peut surgir quand vous avez ACLs configuré sur les les deux les Routeurs mais un des Routeurs ne peut pas différencier entre les listes permises et refusées du trafic permises par l'ACL. Zenmap qui est un outil en source libre utilisé pour vérifier le type de paquet filtre/Pare-feu que l'active est utilisé pour tester la configuration.
Cet article explique comment dépanner l'ACLs permis qui ne fonctionnent pas au-dessus de la passerelle-à-passerelle VPN entre deux routeurs VPN.
• RV016
• RV042
• RV042G
• RV082
• v4.2.2.08
Étape 1. Ouvrez une session à l'utilitaire de configuration Web et choisissez le Pare-feu > les règles d'accès. La page de règle d'accès s'ouvre :
Remarque: Les règles d'accès par défaut ne peuvent pas être éditées. Les règles d'accès mentionnées dans l'image au-dessus de laquelle sont l'utilisateur configuré peuvent être éditées par le processus suivant.
Étape 2. Cliquez sur le bouton d'ajouter pour ajouter une nouvelle règle d'accès. La page de règles d'accès change pour afficher les services et les régions de Scheduling. L'ajout d'une règle d'accès est expliqué dans les étapes suivantes.
Étape 3. Choisissez refusent de la liste déroulante d'action pour refuser le service.
Étape 4. Choisissez le service requis qui est appliqué à la règle de la liste déroulante de service.
Étape 5. (facultative) pour ajouter un service qui n'est pas présent dans la liste déroulante de service, gestion des services de clic. En gestion des services, un service peut être créé comme nécessaire. Après qu'un service soit créé, cliquez sur OK pour sauvegarder des configurations.
Étape 6. Choisissez les paquets de log qui apparient cette règle de la liste déroulante de log pour seulement des logs que correspondance ou pas log pour les logs qui n'apparient pas la règle d'accès.
Étape 7. Choisissez un type d'interface de la liste déroulante d'interface de source qui est la source pour les règles d'accès. Les options disponibles sont :
• RÉSEAU LOCAL — Choisissez le RÉSEAU LOCAL si l'interface de source est le réseau local.
• WAN — Choisissez le WAN si l'interface de source est l'ISP.
• DMZ — Choisissez DMZ si l'interface de source est la zone démilitarisée.
• QUELS — En choisissez pour faire l'interface de source en tant qu'interfaces mentionnées ci-dessus l'unes des.
Étape 8. De la liste déroulante de source ip, choisissez l'adresse source désirée qui s'applique à la règle d'accès. Les options disponibles sont :
• Simple — Choisissez simple si c'est une adresse IP simple et écrivez l'adresse IP.
• Plage — Choisissez la plage si c'est une plage des adresses IP et écrivez la première et dernière adresse IP dans la plage.
• QUELS — En choisissez pour s'appliquer les règles à toutes les adresses IP de source.
Étape 9. De la liste déroulante IP de destination, choisissez l'adresse de destination désirée qui s'applique à la règle d'accès. Les options disponibles sont :
• Simple — Choisissez simple si c'est une adresse IP simple et écrivez l'adresse IP.
• Plage — Choisissez la plage si c'est une plage d'adresse IP et écrivez la première et dernière adresse IP dans la plage.
• QUELS — En choisissez pour s'appliquer les règles à toutes les adresses IP de destination.
Étape 10. Choisissez une méthode pour définir quand les règles sont en activité de la liste déroulante de temps. Elles sont :
• Toujours — Si vous choisissez toujours de la liste déroulante de temps, les règles d'accès seront toujours appliquées de trafiquer.
• Intervalle — Vous pouvez choisir un intervalle heure précise auquel les règles d'accès sont en activité si vous sélectionnez l'intervalle de la liste déroulante de temps. Après que vous spécifiiez l'intervalle de temps, vérifiez les cases des jours où vous voulez les règles d'accès d'être en activité de l'efficace sur le champ.
Étape 11. Sauvegarde de clic pour sauvegarder vos configurations.
Étape 12. Répétez les étapes 2 10 avec les champs s'assortissant à cela affiché dans l'image respectivement. Des règles d'accès selon le client sont appliquées ici. Les 7 premiers permettent quelques services ; le 8ème refuse tout autre trafic. Cette configuration est aussi bien faite sur le deuxième routeur. On permet le port 500 d'IPSec.
Remarque: Faites ceci pour que les les deux les Routeurs vérifient que des règles d'accès sont configurées comme désirées.
Routeur VPN # 1
Routeur VPN # 2
Étape 13. Installez Zenmap(NMAP) de http://nmap.org/download.html et lancez-le sur un PC dans le RÉSEAU LOCAL de 192.168.2.0.
Remarque: C'est le RÉSEAU LOCAL derrière le routeur avec les sept ACLs supplémentaire. L'IP de cible (192.168.1.101) est un PC sur le RÉSEAU LOCAL de passerelle distante.
Étape 14. Le balayage rapide choisi du profil et cliquent sur en fonction le balayage. Par ceci nous pouvons connaître les ports ouverts et filtré selon les ACL, le résultat affiché est représenté dans l'image ci-dessus. La sortie prouve que ces ports sont fermés, indépendamment de l'ACLs permis étant configuré sur RV0xx # 1. Si nous essayons de vérifier les ports à l'IP de RÉSEAU LOCAL (192.168.1.1) de la passerelle distante – nous les découvrons que les ports 80 et 443 sont ouverts (qui ont été fermés au PC 192.168.1.101).
L'ACL exécute correctement après que la suppression de la 7ème ait refusé l'ACL et fonctionne bien comme nous pouvons voir de la sortie.