ACL étendues et ACL6 étendues

Les ACL étendues et les ACL6 étendues fournissent des paramètres et des actions qui ne sont pas disponibles avec les ACL simples. Vous pouvez filtrer les données en fonction de paramètres tels que l’adresse IP source, le port source, l’action et le protocole. Vous pouvez spécifier des tâches pour autoriser un paquet, refuser un paquet ou pont un paquet.

Les ACL étendues et les ACL6 peuvent être modifiés après leur création et vous pouvez renuméroter leurs priorités pour spécifier l’ordre dans lequel elles sont évaluées.

Remarque : Si vous configurez des ACL simples et étendues, les ACL simples ont priorité sur les ACL étendues.

Les actions suivantes peuvent être effectuées sur les ACL étendues et les ACL6 : Modifier, Appliquer, Désactiver, Activer, Supprimer et Renuméroter (la priorité). Vous pouvez afficher les ACL étendues et les ACL6 pour vérifier leur configuration, et vous pouvez afficher leurs statistiques.

Vous pouvez configurer Citrix ADC pour qu’il consigne les détails des paquets qui correspondent à une liste ACL étendue. Toutefois, vous ne pouvez pas consigner les détails des paquets qui correspondent à une extension

Application des ACL étendues et ACL6 étendues : contrairement aux ACL simples et ACL6, les ACL étendues et ACL6 créées sur Citrix ADC ne fonctionnent pas tant qu’elles ne sont pas appliquées. En outre, si vous apportez des modifications à une liste ACL étendue ou ACL6, telles que la désactivation des listes ACL, la modification d’une priorité ou la suppression des listes ACL, vous devez réappliquer les listes ACL étendues ou ACL6. Vous devez également les réappliquer après avoir activé la journalisation. La procédure d’application des ACL étendues ou des ACL6 les réapplique toutes. Par exemple, si vous avez appliqué les règles ACL étendues 1 à 10, puis que vous créez et appliquez la règle 11, les 10 premières règles sont réappliquées.

Si une session est associée à une liste ACL DENY, cette session est interrompue lorsque vous appliquez les listes ACL.

Les ACL étendues et les ACL6 sont activées par défaut. Lorsqu’ils sont appliqués, Citrix ADC commence à comparer les paquets entrants avec eux. Cependant, si vous les désactivez, ils ne sont pas utilisés tant que vous ne les avez pas réactivés, même s’ils sont réappliqués.

Renumérotation des priorités des ACL étendues et des ACL6 étendues : les numéros de priorité déterminent l’ordre dans lequel les ACL étendues ou ACL6 sont rapprochés d’un paquet. Une liste ACL avec un numéro de priorité inférieur a une priorité plus élevée. Elle est évaluée avant les listes ACL avec des numéros de priorité plus élevés (priorités inférieures), et la première liste ACL à correspondre au paquet détermine l’action appliquée au paquet.

Lorsque vous créez une ACL étendue ou ACL6, Citrix ADC lui attribue automatiquement un numéro de priorité qui est un multiple de 10, sauf indication contraire. Par exemple, si deux ACL étendues ont respectivement des priorités de 20 et 30 et que vous souhaitez qu’une troisième ACL ait une valeur entre ces nombres, vous pouvez lui attribuer une valeur de 25. Si vous souhaitez ultérieurement conserver l’ordre dans lequel les ACL sont évaluées mais restaurer leur numérotation en multiples de 10, vous pouvez utiliser la procédure de renumérotation.

Configuration des ACL étendues et des ACL6 étendues

La configuration d’une ACL étendue ou d’une ACL6 sur un Citrix ADC comporte les tâches suivantes.

  • Créez une liste ACL étendue ou ACL6. Créez une liste ACL ou ACL6 étendue pour autoriser, refuser ou pont un paquet. Vous pouvez spécifier une adresse IP ou une plage d’adresses IP à comparer avec les adresses IP source ou destination des paquets. Vous pouvez spécifier un protocole à comparer avec le protocole des paquets entrants.
  • (Facultatif) Modifiez une ACL étendue ou ACL6. Vous pouvez modifier les ACL étendues ou les ACL6 que vous avez créées précédemment. Ou, si vous souhaitez en retirer temporairement un, vous pouvez le désactiver et le réactiver ultérieurement.
  • Appliquer des ACL étendues ou des ACL6. Après avoir créé, modifié, désactivé, réactivé ou supprimé une ACL étendue ou ACL6, vous devez appliquer les ACL étendues ou ACL6 pour les activer.
  • (Facultatif) Renuméroter les priorités des ACL étendues ou des ACL6. Si vous avez configuré des listes ACL avec des priorités qui ne sont pas des multiples de 10 et que vous souhaitez restaurer la numérotation en multiples de 10, utilisez la procédure de renumérotation.

Procédures CLI

Pour créer une ACL étendue à l’aide de l’interface de ligne de commande :

À l’invite de commandes, tapez :

  • add ns acl <aclname> <aclaction> [-srcIP [<operator>] <srcIPVal>] [-srcPort [<operator>] <srcPortVal>] [-destIP [<operator>] <destIPVal>] [-destPort [<operator>] <destPortVal>] [-TTL <positive_integer>] [-srcMac <mac_addr>] [(-protocol <protocol> [-established]) | -protocolNumber <positive_integer>] [-vlan <positive_integer>] [-interface <interface_name>] [-icmpType <positive_integer> [-icmpCode <positive_integer>]] [-priority <positive_integer>] [-state ( ENABLED | DISABLED )] [-logstate ( ENABLED | DISABLED ) [-ratelimit <positive_integer>]]
  • show ns acl [<aclName>]

Exemple :

> add ns acl restrict DENY -srcport 45-1024 -destIP 192.168.1.1 -protocol TCP
 Done

Pour créer un ACL6 étendu à l’aide de l’interface de ligne de commande :

À l’invite de commandes, tapez :

  • add ns acl6 <acl6name> <acl6action> [-srcIPv6 [<operator>] <srcIPv6Val>] [-srcPort [<operator>] <srcPortVal>] [-destIPv6 [<operator>] <destIPv6Val>] [-destPort [<operator>] <destPortVal>] [-TTL <positive_integer>] [-srcMac <mac_addr>] [(-protocol <protocol> [-established]) | -protocolNumber <positive_integer>] [-vlan <positive_integer>] [-interface <interface_name>] [-icmpType <positive_integer> [-icmpCode <positive_integer>]] [-priority <positive_integer>] [-state ( ENABLED | DISABLED )]
  • show ns acl6 [<aclName>]

Exemple :

> add ns acl6 rule6  DENY -srcport 45-1024 -destIPv6 2001::45 -protocol TCP
 Done

Pour modifier une ACL étendue à l’aide de l’interface de ligne de commande :

Pour modifier une ACL étendue, tapez la commande set ns acl, le nom de l’ACL étendue et les paramètres à modifier, avec leurs nouvelles valeurs.

Pour modifier une ACL6 étendue à l’aide de l’interface de ligne de commande :

Pour modifier un ACL6 étendu, tapez la commande set ns acl, le nom de l’ACL6 étendu et les paramètres à modifier, avec leurs nouvelles valeurs.

Pour désactiver ou activer une ACL étendue à l’aide de l’interface de ligne de commande :

À l’invite de commandes, tapez l’une des commandes suivantes :

  • disable ns acl <aclname>
  • enable ns acl <aclname>

Pour désactiver ou activer un ACL6 étendu à l’aide de l’interface de ligne de commande :

À l’invite de commandes, tapez l’une des commandes suivantes :

  • disable ns acl6 <aclname>
  • enable ns acl6<aclname>

Pour appliquer des ACL étendues à l’aide de l’interface de ligne de commande :

À l’invite de commandes, tapez :

  • apply ns acls

Pour appliquer des ACL6 étendues à l’aide de l’interface de ligne de commande :

À l’invite de commandes, tapez :

  • apply ns acls6

Pour renuméroter les priorités des ACL étendues à l’aide de l’interface de ligne de commande :

À l’invite de commandes, tapez :

  • renumber ns acls

Pour renuméroter les priorités des ACL6 étendues à l’aide de l’interface de ligne de commande :

À l’invite de commandes, tapez :

  • renumber ns acls6

Procédures GUI

Pour configurer une liste ACL étendue à l’aide de l’interface graphique :

Accédez à Système > Réseau > ACL et, sous l’onglet ACL étendues, ajoutez une nouvelle ACL étendue ou modifiez une ACL étendue existante. Pour activer ou désactiver une liste ACL étendue existante, sélectionnez-la, puis sélectionnez Activer ou Désactiver dans la liste Action.

Pour configurer un ACL6SacL6s étendu à l’aide de l’interface graphique :

Accédez à Système > Réseau > ACL et, sous l’onglet ACL6s étendus, ajoutez une nouvelle ACL6 étendue ou modifiez une ACL6 étendue existante. Pour activer ou désactiver une ACL6 étendue existante, sélectionnez-la, puis sélectionnez Activer ou Désactiver dans la liste Action.

Pour appliquer des ACL étendues à l’aide de l’interface graphique :

Accédez à Système > Réseau > ACL et, sous l’onglet ACL étendues, dans la liste Action, cliquez sur Appliquer.

Pour appliquer des ACL6sacL6s étendus à l’aide de l’interface graphique :

Accédez à Système > Réseau > ACL et, sous l’onglet ACL6s étendus, dans la liste Action, cliquez sur Appliquer.

Pour renuméroter les priorités des ACL étendues à l’aide de l’interface graphique :

Accédez à Système > Réseau > ACL et, sous l’onglet ACL étendues, dans la liste Action, cliquez sur Renuméroter les priorités.

Pour renuméroter les priorités des ACL6SACL6s étendus à l’aide de l’interface graphique :

Accédez à Système > Réseau > ACL et, sous l’onglet ACL6s étendus, dans la liste Action, cliquez sur Renuméroter les priorités.

Exemples de configurations

Le tableau suivant présente des exemples de configuration de règles ACL étendues via l’interface de ligne de commande :Exemples de configurations ACL.

Journalisation des ACL étendues

Vous pouvez configurer Citrix ADC pour qu’il consigne les détails des paquets qui correspondent aux ACL étendues.

Remarque : vous ne pouvez pas activer la journalisation pour les ACL6 étendues.

En plus du nom ACL, les détails consignés incluent des informations spécifiques au paquet, telles que les adresses IP source et de destination. Les informations sont stockées soit dans le fichier syslog, soit dans le fichier nslog, selon le type de journalisation globale (syslog ou nslog) activé.

La journalisation doit être activée au niveau global et au niveau ACL. Le paramètre global a priorité. Pour plus d’informations sur l’activation de la journalisation globalement, consultez “.”

Pour optimiser la journalisation, lorsque plusieurs paquets du même flux correspondent à une liste ACL, seuls les détails du premier paquet sont consignés et le compteur est incrémenté pour chaque paquet appartenant au même flux. Un flux est défini comme un ensemble de paquets ayant les mêmes valeurs pour l’adresse IP source, l’adresse IP de destination, le port source, le port de destination et les paramètres de protocole. Pour éviter l’inondation des messages de journal, Citrix ADC effectue une limitation de débit interne afin que les paquets appartenant au même flux ne soient pas consignés de manière répétée. Le nombre total de flux différents pouvant être enregistrés à un moment donné est limité à 10 000.

Remarque : Vous devez appliquer des ACL après avoir activé la journalisation.

Procédures CLI

Pour configurer la journalisation ACL étendue à l’aide de l’interface de ligne de commande :

À l’invite de commandes, tapez les commandes suivantes pour configurer la journalisation et vérifier la configuration :

  • set ns acl <aclName> [-logState (ENABLED | DISABLED)] [-rateLimit <positive_integer>]
  • show ns acl [<aclName>]

Exemple :

> set ns acl restrict -logstate ENABLED -ratelimit 120
Warning: ACL modified, apply ACLs to activate change

Procédures GUI

Pour configurer la journalisation ACL étendue à l’aide de l’interface graphique :

  1. Accédez à Système > Réseau > ACL et, sous l’onglet ACL étendues, ouvrez la liste ACL étendue.
  2. Définissez les paramètres suivants :
    • État du journal : activez ou désactivez la journalisation des événements liés à la règle ACL étendue. Les messages de journal sont stockés dans le serveur syslog ou auditlog configuré.
    • Limite du nombre de journaux : nombre maximal de messages de journal à générer par seconde. Si vous définissez ce paramètre, vous devez activer le paramètre Log State.

Journalisation ACL6 étendue

Vous pouvez configurer l’appliance Citrix ADC pour qu’elle consigne les détails des paquets qui correspondent à une règle ACL6 étendue. En plus du nom ACL6, les détails consignés incluent des informations spécifiques au paquet, telles que les adresses IP source et de destination. Les informations sont stockées dans un fichier syslog ou nslog, selon le type de journalisation (syslog ou nslog) que vous avez configuré dans l’appliance Citrix ADC.

Pour optimiser la journalisation, lorsque plusieurs paquets du même flux correspondent à un ACL6, seuls les détails du premier paquet sont consignés. Le compteur est incrémenté pour tous les autres paquets appartenant au même flux. Un flux est défini comme un ensemble de paquets ayant les mêmes valeurs pour les paramètres suivants :

  • IP source
  • IP destination
  • Port source
  • Port de destination
  • Protocole (TCP ou UDP)

Si un paquet entrant ne provient pas du même flux, un nouveau flux est créé. Le nombre total de flux différents pouvant être enregistrés à un moment donné est limité à 10 000.

Procédures CLI

Pour configurer la journalisation d’une règle ACL6 étendue à l’aide de l’interface de ligne de commande :

  • Pour configurer la journalisation lors de l’ajout de la règle ACL6 étendue, à l’invite de commandes, tapez :
    • add acl6 **<acl6Name> <acl6action> [-logState** (ENABLED | DISABLED)] [-rateLimit <positive_integer>]
    • show acl6 [<acl6Name>]
    • apply acls6
  • Pour configurer la journalisation d’une règle ACL6 étendue existante, à l’invite de commandes, tapez :
    • set acl6 **<acl6Name> [-logState** (ENABLED | DISABLED)] [-rateLimit <positive_integer>]
    • show acl6 [<acl6Name>]
    • apply acls6

Procédures GUI

Pour configurer la journalisation ACL6 étendue à l’aide de l’interface graphique :

  1. Accédez à Système > Réseau > ACL, puis cliquez sur l’onglet ACL6s étendus.
  2. Définissez les paramètres suivants lors de l’ajout ou de la modification d’une règle ACL6 étendue existante.
    • État du journal : activez ou désactivez la journalisation des événements liés à la règle ACL6s étendue. Les messages de journal sont stockés dans le serveur syslog ou auditlog configuré.
    • Limite du nombre de journaux : nombre maximal de messages de journal à générer par seconde. Si vous définissez ce paramètre, vous devez activer le paramètre Log State.

Exemple :

> set acl6 ACL6-1 -logstate ENABLED -ratelimit 120
Done

> apply acls6
Done

Affichage des statistiques ACL étendues et ACL6s étendues

Vous pouvez afficher les statistiques des ACL étendues et des ACL6.

Le tableau suivant répertorie les statistiques associées aux ACL étendues et aux ACL6, ainsi que leurs descriptions.

Statistiques Spécifie
Autoriser les accès ACL Paquets correspondant aux ACL avec le mode de traitement défini sur Autoriser. Citrix ADC traite ces paquets.
Résultats de l’ACL NAT Paquets correspondant à une ACL NAT, entraînant une session NAT.
Refuser les accès ACL Les paquets ont été supprimés parce qu’ils correspondent aux ACL avec le mode de traitement défini sur DENY.
Bridge ACL hits Paquets correspondant à une liste ACL de pont, qui, en mode transparent, contourne le traitement du service.
Accès ACL Paquets correspondant à une liste ACL.
Échecs ACL Paquets ne correspondant à aucune ACL.

Procédures CLI

Pour afficher les statistiques de toutes les ACL étendues à l’aide de l’interface de ligne de commande :

À l’invite de commandes, tapez :

  • stat ns acl

Pour afficher les statistiques de toutes les ACL6 étendues à l’aide de l’interface de ligne de commande :

À l’invite de commandes, tapez :

  • stat ns acl6

Procédures GUI

Pour afficher les statistiques d’une liste ACL étendue à l’aide de l’interface graphique :

Accédez à Système > Réseau > ACL, sous l’onglet ACL étendues, sélectionnez l’ACL étendue, puis cliquez sur Statistiques.

Pour afficher les statistiques d’un ACL6 étendu à l’aide de l’interface graphique :

Accédez à Système > Réseau > ACL, sous l’onglet ACL6s étendus, sélectionnez l’ACL étendue, puis cliquez sur Statistiques.

ACL avec état

Une règle ACL avec état crée une session lorsqu’une demande correspond à la règle et autorise les réponses résultantes même si ces réponses correspondent à une règle ACL de refus dans l’appliance Citrix ADC. Une liste ACL avec état décharge le travail de création de règles ACL supplémentaires ou de règles de session de transfert pour autoriser ces réponses spécifiques.

Les ACL avec état peuvent être utilisées au mieux dans un déploiement de pare-feu Edge d’une appliance Citrix ADC présentant les conditions suivantes :

  • L’appliance Citrix ADC doit autoriser les demandes lancées à partir de clients internes et les réponses connexes provenant d’Internet.
  • L’appliance doit supprimer les paquets d’Internet qui ne sont liés à aucune connexion client.

Avant de commencer

Avant de configurer des règles ACL avec état, notez les points suivants :

  • L’appliance Citrix ADC prend en charge les règles ACL avec état ainsi que les règles ACL6 avec état.
  • Dans une configuration haute disponibilité, les sessions d’une règle ACL avec état ne sont pas synchronisées avec le nœud secondaire.
  • Vous ne pouvez pas configurer une règle ACL en tant qu’état si la règle est liée à une configuration NAT Citrix ADC. Voici quelques exemples de configurations NAT Citrix ADC :
    • RNAT
    • NAT à grande échelle (grande échelle NAT44, DS-Lite, grande échelle NAT64)
    • NAT64
    • Transmission de la session
  • Vous ne pouvez pas configurer une règle ACL en tant qu’état si les paramètres TTL et Établi sont définis pour cette règle ACL.
  • Les sessions créées pour une règle ACL avec état continuent d’exister jusqu’à expiration, quelles que soient les opérations ACL suivantes :
    • Supprimer ACL
    • Désactiver ACL
    • Effacer ACL
  • Les listes ACL avec état ne sont pas prises en charge pour les protocoles suivants :
    • FTP actif
    • TFTP

Configurer les règles ACL IPv4 avec état

La configuration d’une règle ACL avec état consiste à activer le paramètre avec état d’une règle ACL.

Pour activer le paramètre état d’une règle ACL à l’aide de l’interface de ligne de commande :

  • Pour activer le paramètre stateful lors de l’ajout d’une règle ACL, à l’invite de commandes, tapez :
    • add acl <lname> ALLOW -stateful ( ENABLED | DISABLED )
    • apply acls
    • show acl <name>
  • Pour activer le paramètre état d’une règle ACL existante, à l’invite de commandes, tapez :
    • set acl <name> -stateful ( ENABLED | DISABLED )
    • apply acls
    • show acl <name>

Pour activer le paramètre état d’une règle ACL à l’aide de l’interface de ligne de commande :

  1. Accédez à Système > Réseau > ACL et, sous l’onglet ACL étendues.
  2. Activez le paramètre Stateful lors de l’ajout ou de la modification d’une règle ACL existante.
    > add acl ACL-1 allow -srciP 1.1.1.1 -stateful Yes

    Done

    > apply acls6

    Done

    > show acl

    1)         Name: ACL-1

      Action: ALLOW                          Hits: 0

      srcIP = 1.1.1.1

      destIP

      srcMac:

      Protocol:

      Vlan:                                 Interface:

      Active Status: ENABLED                 Applied Status: NOTAPPLIED

      Priority: 10                           NAT: NO

      TTL:

      Log Status: DISABLED

      Forward Session: NO

     Stateful: YES

Configurer des règles ACL6 avec état

La configuration d’une règle ACL6 avec état consiste à activer le paramètre avec état d’une règle ACL6.

Pour activer le paramètre avec état d’une règle ACL6 à l’aide de l’interface de ligne de commande :

  • Pour activer le paramètre stateful lors de l’ajout d’une règle ACL6, à l’invite de commandes, tapez :
    • add acl6 <name> ALLOW -stateful ( ENABLED | DISABLD )
    • apply acls6
    • show acl6 <name>
  • Pour activer le paramètre état d’une règle ACL6 existante, à l’invite de commandes, tapez :
    • set acl6 <name> -stateful ( ENABLED | DISABLED )
    • apply acls6
    • show acl6 <name>

Pour activer le paramètre avec état d’une règle ACL6 à l’aide de l’interface de ligne de commande :

  1. Accédez à Système > Réseau > ACL et, sous l’onglet ACL6s étendus.
  2. Activez le paramètre Stateful lors de l’ajout ou de la modification d’une règle ACL6 existante.
    >  add acl6 ACL6-1 allow -srcipv6 1000::1 –stateful Yes

    Done

    >  apply acls6

    Done

    > show acl6

    1)    Name: ACL6-1

      Action: ALLOW                          Hits: 0

      srcIPv6 = 1000::1

      destIPv6

      srcMac:

      Protocol:

      Vlan:                                 Interface:

      Active Status: ENABLED                 Applied Status: NOTAPPLIED

      Priority: 10                           NAT: NO

      TTL:

     Forward Session: NO

     Stateful: YES