! ! Joel Marchand - jma@math.jussieu.fr - 06 fevrier 2003 ! ! ACL typique pour un laboratoire - syntaxe compatible Cisco et Foundry ! ===================================================================== ! ! Philosophie générale : ! tout est autorisé de l'interieur vers l'exterieur ! tout est interdit de l'extérieur vers l'interieur, ! sauf les ports correspondant à la liste des services voulus sur ! les serveurs explicitement definis ci-dessous ! ! Impact : ! - necessite de faire du FTP passif depuis l'interieur aussi ! => reglages des clients FTP ! ! - necessite d'utiliser SSH pour faire du X11 ! de l'exterieur vers l'interieur ! ! - impossibilite d'avoir un serveur Web, FTP, SMB, IRC, ! ssh, telnet, ftp, .. sur d'autres machines que celles ! prevues ci-dessous, qui soit directement visible ! depuis l'exterieur du labo (mais attention aux tunnels) ! ! - besoin de modification de ce qui suit pour des applis ! de videoconference comme NetMeeeting ! ! ! Le numero de l'ACL, 111, est totalement arbitraire (il doit etre > 100) ! no access-list 111 ! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! ! ! Les connexions TCP deja etablies permettant de tout faire ! dans le sens interieur labo -> exterieur = site + Internet ! ! access-list 111 permit tcp any any established ! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! ! ! DNS, NTP et SMTP ! ! Reponses des serveurs DNS peres du site ! access-list 111 permit udp host eq dns any access-list 111 permit udp host eq dns any ! ! Questions et reponses DNS vers la machine DNS du labo ! rem : nécessite d'avoir, dans le fichier named.conf, la ligne ! query-source address * port 53; ! access-list 111 permit tcp any host eq dns access-list 111 permit udp any host eq dns ! ! Reponses NTP depuis le serveur NTP du site ! access-list 111 permit udp host eq ntp any ! ! SMTP avec les serveurs du site et ceux avec qui on fait du SMTP direct ! access-list 111 permit tcp host host eq smtp access-list 111 permit tcp host host eq smtp ! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! ! ! Services utilisateurs : tendre a supprimer telnet, FTP, POP (pw en clair) ! ! FTP - SSH - Telnet - POP3 - HTTP ! access-list 111 permit tcp any host eq ftp access-list 111 permit tcp any host eq ssh access-list 111 permit tcp any host eq telnet access-list 111 permit tcp any host eq pop3 access-list 111 permit tcp any host eq www ! ! FTP-DATA, pour FTP en mode passif sur un tunnel SSH ! rem : ceci est valable avec le serveur WU_FTPD, dans lequel on définit ! cet intervalle de ports 33450-33459 ! access-list 111 permit tcp any gt 1023 host range 33450 33459 ! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! ! ! Services complementaires ! ! LDAP - HTTPS ! access-list 111 permit tcp any host eq 389 access-list 111 permit tcp any host eq 443 ! ! Nabuco (systeme de gestion comptable des universites) : impression par LPD ! access-list 111 permit tcp host host eq lpd ! ! Apogee (systeme de gestion des notes des universites) ! rem : peut-etre il y aura-t-il besoin d'étendre à d'autres machines NT ! notamment le controleur de domaine ! access-list 111 permit ip host host ! ! XLAB (systeme de gestion comptable du CNRS) : FTP avec la D.R du CNRS ! access-list 111 permit ip host host ! ! AppleShare sur IP depuis des endroits reputes surs - a ne pas encourager ! ! access-list 111 permit tcp host eq 548 ! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! ! ! Autres services ! ! Auth - pas forcement utile ou necessaire - ! rem : si on filtre ce service, il convient alors de retourner un RST ou à la ! rigueur un ICMP access denied, pour ne pas faire attendre par le client ! access-list 111 permit tcp any any eq ident ! ! Ping - a restreindre plus finement si possible ! access-list 111 permit icmp any any ! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! ! ! Tout le reste est interdit et logge' ! access-list 111 deny ip any any log