Listes de contrôle d’accès
Une liste de contrôle d’accès (ACL) est un ensemble de conditions que vous pouvez appliquer à une appliance réseau pour filtrer le trafic IP et protéger votre appliance contre les accès non autorisés.
Vous pouvez configurer une ACL sur l’interface graphique de votre service de gestion NetScaler SDX pour limiter et contrôler l’accès à l’appliance.
Remarque :
Les listes de contrôle d’accès sur les appliances SDX sont prises en charge à partir de la version 12.0 57.19.
Cette rubrique comprend les sections suivantes :
- Directives d’utilisation
- Comment configurer les ACL
- Autres actions pour les règles ACL
- Dépannage
Directives d’utilisation
Gardez à l’esprit les points suivants lorsque vous créez des listes de contrôle d’accès sur votre appliance :
- Lorsque vous mettez à niveau l’appliance SDX vers la version 11.0 57.19, la fonctionnalité ACL est désactivée par défaut.
- Les administrateurs SDX peuvent contrôler uniquement les paquets entrants via l’ACL sur l’appliance SDX.
- Si vous utilisez NetScaler Application Delivery Management pour gérer votre appliance SDX, vous devez créer des règles ACL appropriées pour permettre la communication entre MAS et le service de gestion SDX.
- Toutes les autres configurations sur l’appliance SDX, telles que le provisionnement ou la suppression de VPX, l’ajout/la suppression de serveurs externes, la gestion SNMP, ne nécessitent aucune modification de la configuration ACL existante. La communication avec ces entités est prise en charge par le service de gestion.
Comment configurer une liste de contrôle d’accès
La configuration d’une ACL implique les étapes suivantes :
- Activer la fonctionnalité ACL
- Création d’une règle ACL
- Activer la règle ACL
Remarque :
Vous pouvez créer des règles ACL sans activer la fonctionnalité ACL. Toutefois, si la fonctionnalité n’est pas activée, vous ne pouvez pas activer une règle ACL après l’avoir créée.
Activer la fonctionnalité ACL
-
Pour activer la fonctionnalité ACL, connectez-vous à l’interface graphique du service de gestion SDX et accédez à Configuration > Système > ACL.
-
En utilisant le bouton bascule, activez la fonction ACL.
Création d’une règle ACL
-
Sur la page ACL, cliquez sur Créer une règle.
-
La fenêtre Créer une règle s’ouvre. Ajoutez les détails répertoriés dans le tableau suivant.
Propriété Description Nom Ajoutez un nom. Protocole Sélectionnez un protocole dans le menu. Par défaut, TCP est sélectionné. Vous pouvez sélectionner N’IMPORTE QUEL pour autoriser tous les protocoles. Adresse IP source/sous-réseau Spécifiez l’adresse IP ou le sous-réseau source auquel la règle s’applique. Sélectionnez ANY si la règle doit être appliquée à tout le trafic entrant. IP destination L’adresse IP du service de gestion SDX est renseignée automatiquement en tant qu’adresse IP de destination. Ce champ ne peut pas être édité. Port de destination Spécifiez le port de destination auquel la règle s’applique. Sélectionnez N’IMPORTE QUEL si la règle s’applique à tous les ports de destination. Action Sélectionnez l’action de la règle, qui est Autoriser ou Refuser. Priority Attribuez une priorité pour spécifier l’ordre dans lequel la règle doit être évaluée. Les numéros de priorité déterminent l’ordre dans lequel les règles ACL sont mises en correspondance avec un paquet entrant. Un numéro de priorité inférieure a une priorité plus élevée. Par exemple, la priorité numéro 1 a une priorité supérieure à la priorité numéro 1. Si aucune des règles ne correspond au paquet entrant, le paquet est bloqué. -
Cliquez sur OK pour créer la règle.
Figure : Exemple de règle ACL
Une fois la règle créée, elle est à l’état désactivé. Pour que la règle soit effective, vous devez l’activer.
Remarque :
Pour activer une règle, la fonctionnalité ACL doit être activée. Si la fonctionnalité est désactivée et que vous tentez d’activer une règle ACL, un message « L’ACL n’est pas en cours d’exécution » s’affiche.
Activer une règle ACL
-
Passez votre souris sur la règle que vous souhaitez activer, puis cliquez sur le cercle à trois points.
-
Dans le menu, sélectionnez Activer.
-
Vous pouvez également sélectionner le bouton radio correspondant à cette règle et cliquer sur l’onglet Activer .
-
À l’invite, cliquez sur Oui pour confirmer.
Autres actions pour les règles ACL
Vous pouvez appliquer les actions suivantes aux règles ACL :
-
Désactiver une règle ACL
-
Modification d’une règle ACL
-
Supprimer une règle ACL
-
Renuméroter la priorité des règles ACL
Désactiver une règle ACL
-
Passez la souris sur la règle que vous souhaitez désactiver et sélectionnez le cercle à trois points.
-
Cliquez sur Désactiver dans la liste.
-
Vous pouvez également sélectionner le bouton radio correspondant à cette règle et cliquer sur l’onglet Désactiver .
-
Cliquez sur Oui pour confirmer votre choix.
Remarque :
Lorsque vous désactivez une règle, elle ne s’applique plus au trafic entrant. Toutefois, la configuration de la règle reste sous les paramètres ACL.
Modification d’une règle ACL
-
Passez le curseur de la souris sur la règle que vous souhaitez modifier et sélectionnez le cercle à trois points.
-
Cliquez sur Modifier la règle dans la liste. La fenêtre Modifier la règle s’ouvre.
-
Vous pouvez également sélectionner le bouton radio correspondant à cette règle et cliquer sur l’onglet Modifier la règle . La fenêtre Modifier la règle s’ouvre.
-
Apportez les modifications et cliquez sur OK.
Remarque :
Vous pouvez modifier une règle à la fois dans l’état activé et désactivé. Si vous modifiez une règle déjà activée, les modifications sont appliquées immédiatement. Pour une règle dont l’état est désactivé, les mises à jour sont appliquées lorsque vous activez la règle.
Supprimer une règle ACL
-
Assurez-vous que la règle est dans l’état désactivé.
-
Passez le curseur de la souris sur la règle à supprimer et sélectionnez le cercle à trois points. Cliquez sur Supprimer la règle dans la liste.
-
Vous pouvez également sélectionner le bouton radio correspondant à cette règle et cliquer sur l’onglet Supprimer la règle .
-
Cliquez sur Oui pour confirmer votre choix.
Remarque :
Vous ne pouvez pas supprimer une règle dont l’état est activé.
Renuméroter les priorités des règles ACL
-
Passez le curseur de la souris sur la règle dont vous souhaitez renuméroter les priorités et sélectionnez le cercle à trois points. Cliquez sur Renuméroter les priorités dans la liste.
-
Vous pouvez également sélectionner le bouton radio correspondant à cette règle et cliquer sur l’onglet Sélectionner une action .
-
Sélectionnez Renuméroter les priorités.
-
Le service de gestion SDX attribue automatiquement de nouveaux numéros de priorité, qui sont des multiples de 10, à toutes les règles existantes.
-
Modifiez les règles pour attribuer des numéros de priorité en fonction de vos besoins. Consultez la section « Pour modifier une règle ACL » pour plus d’informations sur la façon de modifier une règle.
Figure. Exemple de numéros de priorité existants
Figure. Exemple de numéros de priorité par multiples de 10, après la renumérotation des priorités
Dépannage
Si les règles ACL ne sont pas correctement configurées, l’accès peut être refusé à tous les comptes d’utilisateurs. Si vous perdez par inadvertance tout accès réseau au service de gestion SDX en raison d’une configuration incorrecte de la liste de contrôle d’accès, procédez comme suit pour y accéder.
-
Connectez-vous à l’adresse IP de gestion Citrix Hypervisor à l’aide de SSH et de votre compte « racine ».
-
Ouvrez une session sur la console de la machine virtuelle du service de gestion en utilisant les privilèges d’administrateur.
-
Exécutez la commande
pfctl –d
. -
Ouvrez une session sur le service de gestion via l’interface graphique et reconfigurez l’ACL en conséquence.