Bonjour,
 
Je demande votre aide car je ne comprends pas ...
Je vous explique. J'ai un réseau (172.17.96.0 /24) que je voudrais isoler du reste de mon réseau et leur permettre l'accès uniquement à Internet. Ce réseau correspond à un vlan particulier qui est bien entendu routé au niveau de mes switchs coeur de réseau.
J'ai donc créé une ACL étendu afin de permettre le trafic à destination de certains serveurs spécifiques en interne (essentiellement DHCP et DNS). J'interdis le trafic à destination de tous mes réseaux internes. Et enfin, j'autorise le trafic à destination de tout (permit ip any any). Voilà, ça me semble correct (je peux peut-être me tromper ...) mais pourtant, ces machines arrivent à accéder à tout comme si l'ACL n'était pas en place.
Voici l'ACL en question :  
 
    10 permit ip 172.17.96.0 0.0.0.255 host 172.16.0.183
    20 permit ip host 172.16.0.183 172.17.96.0 0.0.0.255
    30 permit ip 172.17.96.0 0.0.0.255 host 172.16.0.184
    40 permit ip host 172.16.0.184 172.17.96.0 0.0.0.255
    50 permit ip 172.17.96.0 0.0.0.255 host 172.16.254.179
    60 permit ip host 172.16.254.179 172.17.96.0 0.0.0.255
    [...]
    130 permit ip 172.17.96.0 0.0.0.255 host 172.17.200.95
    140 permit ip host 172.17.200.95 172.17.96.0 0.0.0.255
    150 deny ip 172.17.96.0 0.0.0.255 172.16.0.0 0.15.255.255
    160 deny ip 172.17.96.0 0.0.0.255 10.7.208.0 0.0.0.255
    170 permit ip any any
 
Ensuite, je l'applique sur mon interface vlan en sortie :
 
    ip access-group 103 out
 
Qu'en pensez-vous ?
 
A mon avis, le problème ne vient pas de l'algo de mon ACL mais plus de son application car lorsque je rajoute un deny ip any any au début, tout reste autorisé ......
 
Merci à ceux qui m'aideront.

Tout d'abord, bonne année à tous !!!
Personne pour m'aider ??

Bonjour, et bonne année.
 
Je ne sais rien des tes équipements et je ne suis pas spécialiste des réseaux, mais il me semble que dans ce genre d'ACL, l'ordre d’exécution des règles a son importance (ce qui semble confirmé par la numérotation).
Je serais alors tenté de dire que la réponse est contenue dans la question : si tu termine par une règle "any-any" alors elle prévaut sur toutes les autres avant et c'est open-bar !
 
Soit tu fait un système de règles "tout est autorisé sauf ce qui est interdit", et tu place d'abord tes règles permit, puis tes règles deny
Soit tu part dans une logique "tout est interdit sauf ce qui est autorisé" (plus sûr !), et tu place un "deny all" au début, avec des "permit" à la suite qui ouvrent les accès que tu souhaite.

Bonjour et merci de me répondre.
 
C'est vrai, j'ai oublié de le préciser mais ce sont des switchs Cisco (en même temps quand on voit les commandes de mon ACL, on peut s'en douter ...).
 
En effet, dans une ACL, l'ordre a son importance mais justement, elles sont vérifiées séquentiellement de la première à la dernière (et non l'inverse). Ce qui fait que si tu mets un deny all au début, normalement, tout devrait être bloqué, peu importe ce que tu mets après.
Mais là, ce n'est pas le cas .........
C'est pour ça que je pense plutôt qu'elle n'est pas appliquée, mais là je ne vois pas comment faire mieux ...

C'est l'inverse
L'ordre d'exécution a son importance mais c'est la première qui matche qui est retenue (celle avec le plus petit numéro d'index)
  . Si tu as un pemit all à la fin et si tu as un deny avant alors c'est le deny qui prime
  . Si tu as un deny all à la fin et si tu as un accept avant alors c'est le accept qui prime

Sur les cisco :
1. tu définis ton ACL
2. tu l'applique sur ton interface
Par exemple:
http://www.cisco.com/en/US/docs/io [...] apply.html
 
Recherche des exemples sur le site de cisco, il est super riche en info et en exemple de conf.

10 permit ip 172.17.96.0 0.0.0.255 host 172.16.0.183  
30 permit ip 172.17.96.0 0.0.0.255 host 172.16.0.184  
50 permit ip 172.17.96.0 0.0.0.255 host 172.16.254.179  
    [...]  
130 permit ip 172.17.96.0 0.0.0.255 host 172.17.200.95  
150 deny ip 172.17.96.0 0.0.0.255 172.16.0.0 0.15.255.255  
160 deny ip 172.17.96.0 0.0.0.255 10.7.208.0 0.0.0.255  
170 permit tcp 172.17.96.0 0.0.0.255 any eq 80  
180 permit tcp 172.17.96.0 0.0.0.255 any eq 443  
190 deny ip any any (non obligatoire car implicite sur Cisco)
 
A mettre sur ton interface vlan en in, ou sur les autres en out.
 
C'est pour ça que tout passe dans ton réseau. Tes paquets ne sont traités par aucune ACL

En effet, c'est bien ça.
Merci beaucoup !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!        
Mais je ne comprends pas pourquoi ça ne filtrait pas en out ....