configuration routeur cisco

[noussa]

bonjour, <BR> j'ai un routeur cisco 805, (dans une entreprise) je veux limiter l'acces internet. j utiliser les liste d'acces etendus. je suis sure que la commande etais correctement ecrite. avec <BR>access-list 101 deny tcp [ip adress-source] [mask] [ip adress-dest] [mask] eq [port] <BR>access-list 101 permit tcp any any <BR>et puis j appliquer a l'interface ethernet0 <BR>mais le probleme et que tout le monde est deconnecté. j essayer plusieurs fois mais la meme chose. <BR>autre chose la commande 'show ip account' ne donne plus de reponse sachant qu'elle donnait des resultats avant. est ce qu'il existe un syntax qui active cette commande <BR>merci..

[noussa]

s'il vous plait les amis j vraiment besoin d'une solution pour la definition des access list. <BR>pour l'ajout de la commande c resolu. mais les access-list refuse toujours tt les protocoles tcp (fermeture des port 80 et 25) pourtant je ne ferme que le port telnet (23) qui reste a son tours ouvert.

[Mouarf-fr]

Franchement faire des acl quand le routeur n'est pas state full ca devient complexe.. <BR>Mais si tu veux bloquer des ports en sortie ca c'est faisable facilement... <BR>Dis moi exactement ce que tu veux faire. <BR>Moi sur mon routeur j'ai <BR> <BR>! <BR>interface FastEthernet0/0 <BR> description connected to the lan <BR> ip address 192.168.100.1 255.255.255.0 <BR> ip access-group 199 in <BR> ip wccp web-cache redirect out <BR> ip nat inside <BR> ip inspect FIREWALLIN in <BR> ip inspect FIREWALLOUT out <BR> no cdp enable <BR>! <BR>access-list 199 remark OUTGOING ACL <BR>access-list 199 remark SSH <BR>access-list 199 permit tcp any any eq 22 <BR>........ <BR>access-list 199 remark $%#&! THEM ALL <BR>access-list 199 deny ip any any log <BR> <BR>Bref il te faut un routeur est state full. Ca te coutera - cher d'acheter un cisco Soho91 que d'upgrader ton 805 pour le faire <IMG SRC="images/smiles/icon_smile.gif"> <BR> <BR>Raphaël <BR> <BR> <BR> <BR>

[noussa]

BONJOUR, <BR>la configuration de mon routeur est la suivante. je ne sais pas si je l'ai dit mais c un routeur nat. <BR> <BR>interface Ethernet0 <BR> ip address 172.20.1.253 255.255.255.0 <BR> ip accounting output-packets <BR> ip nat inside <BR>! <BR>interface Serial0 <BR> no ip address <BR> encapsulation frame-relay <BR> frame-relay lmi-type ansi <BR>! <BR>interface Serial0.1 point-to-point <BR> ip address 213.150.172.254 255.255.255.252 <BR> ip nat outside <BR> frame-relay interface-dlci 16 <BR>! <BR>ip nat inside source list 1 interface Serial0.1 overload <BR>no ip http server <BR>ip classless <BR>ip route 0.0.0.0 0.0.0.0 213.150.172.253 <BR> <BR> <BR>excuse moi, mais c quoi un routeur full state? <IMG SRC="images/smiles/icon_rolleyes.gif"> et que sont les probleme avec un routeur cisco 805?

[Mouarf-fr]

une petite recherche dans google te dira ce que c'est un firewall stateful <IMG SRC="images/smiles/icon_smile.gif"> <BR>pour exemple le premier lien trouvé avec google recherche FR : <BR><!-- BBCode auto-link start --><a href="http://www.securite.teamlog.com/publication/7/13/77/" target="_blank">http://www.securite.teamlog.com/publication/7/13/77/</a><!-- BBCode auto-link end --> <BR> <BR>Le problème avec les 805 est que d'origine ils n'ont pas d'ios firewall. <BR>Pour pouvoirle faire il faut mettre un ios firewall, il faudra surement upgrader la flash et la ram ainsi qu'acheter l'ios. <BR>Le top serait de mettre un équipement avant ton routeur, demander un /30 à ton opérateur virer le nat sur le 805 et voila. <BR>Concernant l'équipement tu peux mettre soit un cisco soho 91 ou un linux <BR>Pour info un cisco soho91 est un routeur double Ethernet qui fait firewall et ipsec en 3des (vérifie la législation en Tunisie). <BR>Si tu as une machine deja dispo, teste l'une des distribs dispo sur ce site, ou bien si tu n'en as pas le cisco91 coute moins de 250 euros (cela dépend de ta remise chez ton fournisseur Cisco). <BR> <BR>Raphaël

[noussa]

je vais essayer. <BR>vous m'avez dit ulterieurement que c simple de bloquer des ports. est ce que je peux savoir comment? <BR>merci <BR> <IMG SRC="images/smiles/icon_cry.gif">

[Mouarf-fr]

Et bien tu peux filtrer de la manière suivante : <BR>par exemple autoriser uniquement le proxy à naviguer sur le port 80: <BR> <BR>access-list 199 permit tcp host 192.168.100.1 any eq 80 <BR>access-list 199 deny tcp any any eq 80 <BR>access-list 199 permit ip any any <BR> <BR> <BR>Raphaël <BR>

[Pintjous]

Merci Noussa <BR>tu nous donnes ton adress ip fix et tu nous explique que le port reste ouvert en 23 <BR>donne nous aussi ton pass du routeur comme ca t'es sur que demain il est planter!!! <BR> <BR>

[cyberman]

salut noussa!!!! <BR>noussa ne donne jamais ton ip!!!! <BR>pour limiter l'accer a internet tu peut mettre ipcop derriere le 805 tu securise ton résaux c'est bq mieux <BR>et depuis ipcop tu peut tout faire <IMG SRC="images/smiles/icon_lol.gif"> <BR>bloquer .... autoriser.... <BR>je suppose que tu veux configurer ton cisco pour l'accé a TTN <BR> <IMG SRC="images/smiles/icon_lol.gif">