! Autoriser le réseau 192.168.10.0/24
access-list 1 permit 192.168.10.0 0.0.0.255
access-list 1 deny any
! Appliquer sur l'interface
interface GigabitEthernet0/1
ip access-group 1 inUne ACL (Access Control List) est une liste de règles qui définit …
quels paquets ou utilisateurs sont autorisés ou refusés à accéder à une ressource réseau.
Les ACL sont l’un des mécanismes les plus anciens et les plus utilisés du contrôle d’accès en réseau.
Les ACL fonctionnent comme un filtre : chaque paquet est évalué contre une liste de règles, lues de haut en bas. |
Filtrer le trafic entrant et sortant
Sécuriser les ressources sensibles
Segmenter les flux entre VLAN ou zones
Surveiller le trafic via des règles de log
Imposer des politiques de sécurité réseau
Filtre uniquement sur l'adresse IP source
Numérotée de 1 à 99 (et 1300 à 1999) sur Cisco
Simple mais peu granulaire
À placer près de la destination pour éviter de bloquer trop de trafic en amont. |
Filtre sur : IP source, IP destination, protocole, port
Numérotée de 100 à 199 (et 2000 à 2699) sur Cisco
Plus précise et flexible
À placer près de la source pour bloquer le trafic le plus tôt possible. |
Permet d’attribuer un nom explicite plutôt qu’un numéro.
Plus lisible
Permet l’édition facile (insertion/suppression de lignes)
ACL dynamique qui autorise le trafic retour uniquement si une connexion a été initiée depuis l’intérieur.
Activée uniquement sur des plages horaires définies.
| Champ | Description |
|---|---|
Action |
|
Protocole | TCP, UDP, ICMP, IP, etc. |
Source | Adresse IP ou plage source |
Destination | Adresse IP ou plage destination |
Port | Port source/destination (TCP/UDP) |
Options |
|
! Autoriser le réseau 192.168.10.0/24
access-list 1 permit 192.168.10.0 0.0.0.255
access-list 1 deny any
! Appliquer sur l'interface
interface GigabitEthernet0/1
ip access-group 1 inaccess-list 100 deny tcp any any eq 23
access-list 100 permit ip any any
interface GigabitEthernet0/0
ip access-group 100 inip access-list extended FILTRE_WEB
permit tcp any any eq 80
permit tcp any any eq 443
deny ip any any log# Autoriser SSH depuis le LAN uniquement
iptables -A INPUT -p tcp --dport 22 \
-s 192.168.1.0/24 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j DROPAussi près que possible de la destination pour ne pas bloquer du trafic légitime en amont.
Aussi près que possible de la source pour économiser la bande passante du réseau.
Une mauvaise place peut soit bloquer du trafic légitime, soit gaspiller des ressources réseau. |
Filtre le trafic entrant sur l’interface (avant routage).
Filtre le trafic sortant de l’interface (après routage).
Le sens inbound est généralement plus efficace : le routeur économise les cycles de routage si le paquet doit être bloqué. |
Ordre des règles : du plus spécifique au plus général
Deny implicite en fin de liste (toujours présent sur Cisco)
Documenter chaque règle (commentaires remark)
Tester avant déploiement en production
Auditer régulièrement (règles obsolètes)
Supprimer les règles inutilisées
|
| Critère | ACL | Pare-feu |
|---|---|---|
Niveau OSI | 3-4 | 3-7 |
Stateful | Non (statique) | Oui |
Inspection profonde | Non | Oui (DPI) |
Performance | Très rapide | Plus lente |
Granularité | Moyenne | Élevée |
Cas d’usage | Filtrage simple | Sécurité avancée |
Les ACL sont un outil fondamental du contrôle d’accès réseau.
Simples, rapides et efficaces pour le filtrage de base, …
elles s’intègrent dans une stratégie de défense en profondeur, complémentairement aux pare-feu et aux IDS/IPS.
Pour aller plus loin : IDS/IPS · Pare-feu · Où placer les ACL ? |