salut,
je m'explique j'ai un cisco soho, je voudrai faire des filtres pour tenter
d'eviter le piratage sur mon pc mais je veux laisser ouver les port pour du
per2per, je sais c'est pas top pour la secu mais bon!
avez vous une idée de la tete des acl qu'il faut que je fasse?
j'ai une ip fixe.
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Laurent
Dans l'article <c24err$k0q$, disait...
salut, je m'explique j'ai un cisco soho, je voudrai faire des filtres pour tenter d'eviter le piratage sur mon pc mais je veux laisser ouver les port pour du per2per, je sais c'est pas top pour la secu mais bon! avez vous une idée de la tete des acl qu'il faut que je fasse? j'ai une ip fixe. je suis loin d'être expert en la matière, mais bon...
les soho utilisent l'ios standard ? si c le cas... un truc dans ce gout là... ?
ip nat inside source static tcp mon-ip-locale-emule 4662 mon-ip-fixe- internet 4662 extendable ip nat inside source static udp mon-ip-locale-emule 4662 mon-ip-fixe- internet 4662 extendable .../... interface "Wan" ip nat outside interface "Ethernet" ip nat inside ip access-group 101 out .../... access-list 101 permit udp any host mon-ip-locale-emule eq 4662 access-list 101 permit tcp any host mon-ip-locale-emule eq 4662 .../...
Evidement, c'est pas suffisant... Voir peut être sur le site cisco pour des précisions sur l'utilisation des acl...
Si je dis des conn..... , faut pas hésiter à me reprendre hein !! ;o)
Laurent.
Dans l'article <c24err$k0q$1@s1.read.news.oleane.net>, plt@oleane.net
disait...
salut,
je m'explique j'ai un cisco soho, je voudrai faire des filtres pour tenter
d'eviter le piratage sur mon pc mais je veux laisser ouver les port pour du
per2per, je sais c'est pas top pour la secu mais bon!
avez vous une idée de la tete des acl qu'il faut que je fasse?
j'ai une ip fixe.
je suis loin d'être expert en la matière, mais bon...
les soho utilisent l'ios standard ? si c le cas...
un truc dans ce gout là... ?
ip nat inside source static tcp mon-ip-locale-emule 4662 mon-ip-fixe-
internet 4662 extendable
ip nat inside source static udp mon-ip-locale-emule 4662 mon-ip-fixe-
internet 4662 extendable
.../...
interface "Wan"
ip nat outside
interface "Ethernet"
ip nat inside
ip access-group 101 out
.../...
access-list 101 permit udp any host mon-ip-locale-emule eq 4662
access-list 101 permit tcp any host mon-ip-locale-emule eq 4662
.../...
Evidement, c'est pas suffisant...
Voir peut être sur le site cisco pour des précisions sur l'utilisation
des acl...
Si je dis des conn..... , faut pas hésiter à me reprendre hein !! ;o)
salut, je m'explique j'ai un cisco soho, je voudrai faire des filtres pour tenter d'eviter le piratage sur mon pc mais je veux laisser ouver les port pour du per2per, je sais c'est pas top pour la secu mais bon! avez vous une idée de la tete des acl qu'il faut que je fasse? j'ai une ip fixe. je suis loin d'être expert en la matière, mais bon...
les soho utilisent l'ios standard ? si c le cas... un truc dans ce gout là... ?
ip nat inside source static tcp mon-ip-locale-emule 4662 mon-ip-fixe- internet 4662 extendable ip nat inside source static udp mon-ip-locale-emule 4662 mon-ip-fixe- internet 4662 extendable .../... interface "Wan" ip nat outside interface "Ethernet" ip nat inside ip access-group 101 out .../... access-list 101 permit udp any host mon-ip-locale-emule eq 4662 access-list 101 permit tcp any host mon-ip-locale-emule eq 4662 .../...
Evidement, c'est pas suffisant... Voir peut être sur le site cisco pour des précisions sur l'utilisation des acl...
Si je dis des conn..... , faut pas hésiter à me reprendre hein !! ;o)
Laurent.
www
"Laurent" a écrit dans le message de news:
Dans l'article <c24err$k0q$, disait...
salut,
Salut
Je complète un peu pour aider au maximum Philippe.
ip nat inside source static tcp mon-ip-locale-emule 4662 mon-ip-fixe- internet 4662 extendable ip nat inside source static udp mon-ip-locale-emule 4662 mon-ip-fixe- internet 4662 extendable
Tu peux mettre le nom de l'interface à la place de mon-ip-fixe-internet. Cela fonctionne donc avec un ip dynamique. voici un exemple : ip nat inside source static tcp mon-ip-locale-emule4662 interface dialer1 4662 extendable
interface "Wan" ip nat outside interface "Ethernet" ip nat inside
ip access-group 101 out access-list 101 permit udp any host mon-ip-locale-emule eq 4662 access-list 101 permit tcp any host mon-ip-locale-emule eq 4662
Pourquoi autoriser la sortie de la mule alors que le routeur laisse déjà tous sortir?
Evidement, c'est pas suffisant...
:)
Voir peut être sur le site cisco pour des précisions sur l'utilisation des acl...
C'est un bon conseil.
--
SebF
http://www.frameip.com Pour ceux qui aiment IP
"Laurent" <lpopoz@fournisseur.invalid> a écrit dans le message de news:
MPG.1ab163318d68022498972b@news.free.fr...
Dans l'article <c24err$k0q$1@s1.read.news.oleane.net>, plt@oleane.net
disait...
salut,
Salut
Je complète un peu pour aider au maximum Philippe.
ip nat inside source static tcp mon-ip-locale-emule 4662 mon-ip-fixe-
internet 4662 extendable
ip nat inside source static udp mon-ip-locale-emule 4662 mon-ip-fixe-
internet 4662 extendable
Tu peux mettre le nom de l'interface à la place de mon-ip-fixe-internet.
Cela fonctionne donc avec un ip dynamique. voici un exemple : ip nat inside
source static tcp mon-ip-locale-emule4662 interface dialer1 4662 extendable
interface "Wan"
ip nat outside
interface "Ethernet"
ip nat inside
ip access-group 101 out
access-list 101 permit udp any host mon-ip-locale-emule eq 4662
access-list 101 permit tcp any host mon-ip-locale-emule eq 4662
Pourquoi autoriser la sortie de la mule alors que le routeur laisse déjà
tous sortir?
Evidement, c'est pas suffisant...
:)
Voir peut être sur le site cisco pour des précisions sur l'utilisation
des acl...
Je complète un peu pour aider au maximum Philippe.
ip nat inside source static tcp mon-ip-locale-emule 4662 mon-ip-fixe- internet 4662 extendable ip nat inside source static udp mon-ip-locale-emule 4662 mon-ip-fixe- internet 4662 extendable
Tu peux mettre le nom de l'interface à la place de mon-ip-fixe-internet. Cela fonctionne donc avec un ip dynamique. voici un exemple : ip nat inside source static tcp mon-ip-locale-emule4662 interface dialer1 4662 extendable
interface "Wan" ip nat outside interface "Ethernet" ip nat inside
ip access-group 101 out access-list 101 permit udp any host mon-ip-locale-emule eq 4662 access-list 101 permit tcp any host mon-ip-locale-emule eq 4662
Pourquoi autoriser la sortie de la mule alors que le routeur laisse déjà tous sortir?
Evidement, c'est pas suffisant...
:)
Voir peut être sur le site cisco pour des précisions sur l'utilisation des acl...
C'est un bon conseil.
--
SebF
http://www.frameip.com Pour ceux qui aiment IP
Laurent
Dans l'article <c27ir1$mpg$, disait...
interface "Ethernet" ip nat inside
ip access-group 101 out access-list 101 permit udp any host mon-ip-locale-emule eq 4662 access-list 101 permit tcp any host mon-ip-locale-emule eq 4662
Pourquoi autoriser la sortie de la mule alors que le routeur laisse déjà tous sortir? Le "ip access-group" s'applique à l'interface ethernet...
Par ailleurs, si on ne saisi que "ip access-group 101", il ajoute tout seul le "out". Moi, je comprend ça comme "tout ce qui sort de l'interface ethernet"... donc vers le lan ... ??? ...mais je me trompe peut-être.
et si on oublie la notion d'interface, comme on a source="any" et destination="host mon-ip-locale-emule", ça va quand même dans le bon sens... non ?
Dans l'article <c27ir1$mpg$1@news.tiscali.fr>,
sebf@frameip.com.pas.de.spam disait...
interface "Ethernet"
ip nat inside
ip access-group 101 out
access-list 101 permit udp any host mon-ip-locale-emule eq 4662
access-list 101 permit tcp any host mon-ip-locale-emule eq 4662
Pourquoi autoriser la sortie de la mule alors que le routeur laisse déjà
tous sortir?
Le "ip access-group" s'applique à l'interface ethernet...
Par ailleurs, si on ne saisi que "ip access-group 101", il ajoute tout
seul le "out".
Moi, je comprend ça comme "tout ce qui sort de l'interface ethernet"...
donc vers le lan ... ??? ...mais je me trompe peut-être.
et si on oublie la notion d'interface, comme on a source="any" et
destination="host mon-ip-locale-emule", ça va quand même dans le bon
sens... non ?
ip access-group 101 out access-list 101 permit udp any host mon-ip-locale-emule eq 4662 access-list 101 permit tcp any host mon-ip-locale-emule eq 4662
Pourquoi autoriser la sortie de la mule alors que le routeur laisse déjà tous sortir? Le "ip access-group" s'applique à l'interface ethernet...
Par ailleurs, si on ne saisi que "ip access-group 101", il ajoute tout seul le "out". Moi, je comprend ça comme "tout ce qui sort de l'interface ethernet"... donc vers le lan ... ??? ...mais je me trompe peut-être.
et si on oublie la notion d'interface, comme on a source="any" et destination="host mon-ip-locale-emule", ça va quand même dans le bon sens... non ?
www
"Laurent" a écrit dans le message de news:
Le "ip access-group" s'applique à l'interface ethernet... Par ailleurs, si on ne saisi que "ip access-group 101", il ajoute tout seul le "out".
J'ai éssayé la commande sans spécifier le in ou out et j'ai eu : % Incomplete command. (Le ? n'indiquait pas <CR>)
Moi, je comprend ça comme "tout ce qui sort de l'interface ethernet"... donc vers le lan ... ??? ...mais je me trompe peut-être.
Non, tu as entièrement raison. J'ai lu trop vite et out signifie bien sortie, donc out sur l'interface lan ...
et si on oublie la notion d'interface, comme on a source="any" et destination="host mon-ip-locale-emule", ça va quand même dans le bon sens... non ?
Oui.
En fait, Philippe utilise certainement de la Nat overload sur l'interface Dialer1. Donc, de toute façon il n'y a aucun port d'écoute sur l'ip translaté. Tu lui as proposé de configurer du Pat sur les ports de la Mule. Ce qui est la bonne solution pour lui. Cela engendre le fait que toute trame TCP 4662 ou UDP 4662 sera écoutées et routées vers sa mule. Il n'y a pas le besoin d'autoriser les ports sur le lan étant donné qu'il n'y a pas de restriction.
Avec ta proposition, il va y arriver :-)
Philippe, regarde ici, ca correspond à tes besoins. http://lugdunum2k.free.fr/cisco.html
--
SebF
http://www.frameip.com Pour ceux qui aiment IP
"Laurent" <lpopoz@fournisseur.invalid> a écrit dans le message de news:
MPG.1ab188534004b4e498972e@news.free.fr...
Le "ip access-group" s'applique à l'interface ethernet...
Par ailleurs, si on ne saisi que "ip access-group 101", il ajoute tout
seul le "out".
J'ai éssayé la commande sans spécifier le in ou out et j'ai eu : %
Incomplete command. (Le ? n'indiquait pas <CR>)
Moi, je comprend ça comme "tout ce qui sort de l'interface ethernet"...
donc vers le lan ... ??? ...mais je me trompe peut-être.
Non, tu as entièrement raison. J'ai lu trop vite et out signifie bien
sortie, donc out sur l'interface lan ...
et si on oublie la notion d'interface, comme on a source="any" et
destination="host mon-ip-locale-emule", ça va quand même dans le bon
sens... non ?
Oui.
En fait, Philippe utilise certainement de la Nat overload sur l'interface
Dialer1. Donc, de toute façon il n'y a aucun port d'écoute sur l'ip
translaté.
Tu lui as proposé de configurer du Pat sur les ports de la Mule. Ce qui est
la bonne solution pour lui. Cela engendre le fait que toute trame TCP 4662
ou UDP 4662 sera écoutées et routées vers sa mule. Il n'y a pas le besoin
d'autoriser les ports sur le lan étant donné qu'il n'y a pas de restriction.
Avec ta proposition, il va y arriver :-)
Philippe, regarde ici, ca correspond à tes besoins.
http://lugdunum2k.free.fr/cisco.html
Le "ip access-group" s'applique à l'interface ethernet... Par ailleurs, si on ne saisi que "ip access-group 101", il ajoute tout seul le "out".
J'ai éssayé la commande sans spécifier le in ou out et j'ai eu : % Incomplete command. (Le ? n'indiquait pas <CR>)
Moi, je comprend ça comme "tout ce qui sort de l'interface ethernet"... donc vers le lan ... ??? ...mais je me trompe peut-être.
Non, tu as entièrement raison. J'ai lu trop vite et out signifie bien sortie, donc out sur l'interface lan ...
et si on oublie la notion d'interface, comme on a source="any" et destination="host mon-ip-locale-emule", ça va quand même dans le bon sens... non ?
Oui.
En fait, Philippe utilise certainement de la Nat overload sur l'interface Dialer1. Donc, de toute façon il n'y a aucun port d'écoute sur l'ip translaté. Tu lui as proposé de configurer du Pat sur les ports de la Mule. Ce qui est la bonne solution pour lui. Cela engendre le fait que toute trame TCP 4662 ou UDP 4662 sera écoutées et routées vers sa mule. Il n'y a pas le besoin d'autoriser les ports sur le lan étant donné qu'il n'y a pas de restriction.
Avec ta proposition, il va y arriver :-)
Philippe, regarde ici, ca correspond à tes besoins. http://lugdunum2k.free.fr/cisco.html