acl cisco pour le net

Le
Philippe
salut,
je m'explique j'ai un cisco soho, je voudrai faire des filtres pour tenter
d'eviter le piratage sur mon pc mais je veux laisser ouver les port pour du
per2per, je sais c'est pas top pour la secu mais bon!
avez vous une idée de la tete des acl qu'il faut que je fasse?
j'ai une ip fixe.

Merci
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Laurent
Le #51296
Dans l'article disait...
salut,
je m'explique j'ai un cisco soho, je voudrai faire des filtres pour tenter
d'eviter le piratage sur mon pc mais je veux laisser ouver les port pour du
per2per, je sais c'est pas top pour la secu mais bon!
avez vous une idée de la tete des acl qu'il faut que je fasse?
j'ai une ip fixe.
je suis loin d'être expert en la matière, mais bon...

les soho utilisent l'ios standard ? si c le cas...
un truc dans ce gout là... ?

ip nat inside source static tcp mon-ip-locale-emule 4662 mon-ip-fixe-
internet 4662 extendable
ip nat inside source static udp mon-ip-locale-emule 4662 mon-ip-fixe-
internet 4662 extendable
.../...
interface "Wan"
ip nat outside
interface "Ethernet"
ip nat inside
ip access-group 101 out
.../...
access-list 101 permit udp any host mon-ip-locale-emule eq 4662
access-list 101 permit tcp any host mon-ip-locale-emule eq 4662
.../...

Evidement, c'est pas suffisant...
Voir peut être sur le site cisco pour des précisions sur l'utilisation
des acl...

Si je dis des conn..... , faut pas hésiter à me reprendre hein !! ;o)

Laurent.

www
Le #51291
"Laurent"
Dans l'article disait...

salut,



Salut

Je complète un peu pour aider au maximum Philippe.

ip nat inside source static tcp mon-ip-locale-emule 4662 mon-ip-fixe-
internet 4662 extendable
ip nat inside source static udp mon-ip-locale-emule 4662 mon-ip-fixe-
internet 4662 extendable


Tu peux mettre le nom de l'interface à la place de mon-ip-fixe-internet.
Cela fonctionne donc avec un ip dynamique. voici un exemple : ip nat inside
source static tcp mon-ip-locale-emule4662 interface dialer1 4662 extendable

interface "Wan"
ip nat outside
interface "Ethernet"
ip nat inside

ip access-group 101 out
access-list 101 permit udp any host mon-ip-locale-emule eq 4662
access-list 101 permit tcp any host mon-ip-locale-emule eq 4662


Pourquoi autoriser la sortie de la mule alors que le routeur laisse déjà
tous sortir?

Evidement, c'est pas suffisant...


:)

Voir peut être sur le site cisco pour des précisions sur l'utilisation
des acl...


C'est un bon conseil.


--

SebF

http://www.frameip.com
Pour ceux qui aiment IP


Laurent
Le #50897
Dans l'article disait...
interface "Ethernet"
ip nat inside

ip access-group 101 out
access-list 101 permit udp any host mon-ip-locale-emule eq 4662
access-list 101 permit tcp any host mon-ip-locale-emule eq 4662


Pourquoi autoriser la sortie de la mule alors que le routeur laisse déjà
tous sortir?
Le "ip access-group" s'applique à l'interface ethernet...

Par ailleurs, si on ne saisi que "ip access-group 101", il ajoute tout
seul le "out".
Moi, je comprend ça comme "tout ce qui sort de l'interface ethernet"...
donc vers le lan ... ??? ...mais je me trompe peut-être.

et si on oublie la notion d'interface, comme on a source="any" et
destination="host mon-ip-locale-emule", ça va quand même dans le bon
sens... non ?


www
Le #50896
"Laurent"

Le "ip access-group" s'applique à l'interface ethernet...
Par ailleurs, si on ne saisi que "ip access-group 101", il ajoute tout
seul le "out".


J'ai éssayé la commande sans spécifier le in ou out et j'ai eu : %
Incomplete command. (Le ? n'indiquait pas <CR>)

Moi, je comprend ça comme "tout ce qui sort de l'interface ethernet"...
donc vers le lan ... ??? ...mais je me trompe peut-être.


Non, tu as entièrement raison. J'ai lu trop vite et out signifie bien
sortie, donc out sur l'interface lan ...

et si on oublie la notion d'interface, comme on a source="any" et
destination="host mon-ip-locale-emule", ça va quand même dans le bon
sens... non ?


Oui.

En fait, Philippe utilise certainement de la Nat overload sur l'interface
Dialer1. Donc, de toute façon il n'y a aucun port d'écoute sur l'ip
translaté.
Tu lui as proposé de configurer du Pat sur les ports de la Mule. Ce qui est
la bonne solution pour lui. Cela engendre le fait que toute trame TCP 4662
ou UDP 4662 sera écoutées et routées vers sa mule. Il n'y a pas le besoin
d'autoriser les ports sur le lan étant donné qu'il n'y a pas de restriction.

Avec ta proposition, il va y arriver :-)

Philippe, regarde ici, ca correspond à tes besoins.
http://lugdunum2k.free.fr/cisco.html

--

SebF

http://www.frameip.com
Pour ceux qui aiment IP

Publicité
Poster une réponse
Anonyme