configuration routeur cisco

Echangez vos avis, assistez-vous durant la configuration de vos matériels réseau. Ce forum vous permettra de faire partager vos expérience en matière de mise en place de matériel réseau, qu'il s'agisse de routeurs, switches, wireless ...

Modérateur: modos Ixus

Messagepar noussa » 24 Déc 2003 18:52

bonjour, <BR> j'ai un routeur cisco 805, (dans une entreprise) je veux limiter l'acces internet. j utiliser les liste d'acces etendus. je suis sure que la commande etais correctement ecrite. avec <BR>access-list 101 deny tcp [ip adress-source] [mask] [ip adress-dest] [mask] eq [port] <BR>access-list 101 permit tcp any any <BR>et puis j appliquer a l'interface ethernet0 <BR>mais le probleme et que tout le monde est deconnecté. j essayer plusieurs fois mais la meme chose. <BR>autre chose la commande 'show ip account' ne donne plus de reponse sachant qu'elle donnait des resultats avant. est ce qu'il existe un syntax qui active cette commande <BR>merci..
Qui veut faire quelque chose trouve un moyen.-Qui ne veut rien faire trouve une excuse.
Avatar de l’utilisateur
noussa
Matelot
Matelot
 
Messages: 6
Inscrit le: 24 Déc 2003 01:00

Messagepar noussa » 26 Déc 2003 09:37

s'il vous plait les amis j vraiment besoin d'une solution pour la definition des access list. <BR>pour l'ajout de la commande c resolu. mais les access-list refuse toujours tt les protocoles tcp (fermeture des port 80 et 25) pourtant je ne ferme que le port telnet (23) qui reste a son tours ouvert.
Qui veut faire quelque chose trouve un moyen.-Qui ne veut rien faire trouve une excuse.
Avatar de l’utilisateur
noussa
Matelot
Matelot
 
Messages: 6
Inscrit le: 24 Déc 2003 01:00

Messagepar Mouarf-fr » 28 Déc 2003 01:25

Franchement faire des acl quand le routeur n'est pas state full ca devient complexe.. <BR>Mais si tu veux bloquer des ports en sortie ca c'est faisable facilement... <BR>Dis moi exactement ce que tu veux faire. <BR>Moi sur mon routeur j'ai <BR> <BR>! <BR>interface FastEthernet0/0 <BR> description connected to the lan <BR> ip address 192.168.100.1 255.255.255.0 <BR> ip access-group 199 in <BR> ip wccp web-cache redirect out <BR> ip nat inside <BR> ip inspect FIREWALLIN in <BR> ip inspect FIREWALLOUT out <BR> no cdp enable <BR>! <BR>access-list 199 remark OUTGOING ACL <BR>access-list 199 remark SSH <BR>access-list 199 permit tcp any any eq 22 <BR>........ <BR>access-list 199 remark $%#&! THEM ALL <BR>access-list 199 deny ip any any log <BR> <BR>Bref il te faut un routeur est state full. Ca te coutera - cher d'acheter un cisco Soho91 que d'upgrader ton 805 pour le faire <IMG SRC="images/smiles/icon_smile.gif"> <BR> <BR>Raphaël <BR> <BR> <BR> <BR>
Avatar de l’utilisateur
Mouarf-fr
Quartier Maître
Quartier Maître
 
Messages: 19
Inscrit le: 11 Nov 2003 01:00

Messagepar noussa » 02 Jan 2004 10:40

BONJOUR, <BR>la configuration de mon routeur est la suivante. je ne sais pas si je l'ai dit mais c un routeur nat. <BR> <BR>interface Ethernet0 <BR> ip address 172.20.1.253 255.255.255.0 <BR> ip accounting output-packets <BR> ip nat inside <BR>! <BR>interface Serial0 <BR> no ip address <BR> encapsulation frame-relay <BR> frame-relay lmi-type ansi <BR>! <BR>interface Serial0.1 point-to-point <BR> ip address 213.150.172.254 255.255.255.252 <BR> ip nat outside <BR> frame-relay interface-dlci 16 <BR>! <BR>ip nat inside source list 1 interface Serial0.1 overload <BR>no ip http server <BR>ip classless <BR>ip route 0.0.0.0 0.0.0.0 213.150.172.253 <BR> <BR> <BR>excuse moi, mais c quoi un routeur full state? <IMG SRC="images/smiles/icon_rolleyes.gif"> et que sont les probleme avec un routeur cisco 805?
Qui veut faire quelque chose trouve un moyen.-Qui ne veut rien faire trouve une excuse.
Avatar de l’utilisateur
noussa
Matelot
Matelot
 
Messages: 6
Inscrit le: 24 Déc 2003 01:00

Messagepar Mouarf-fr » 02 Jan 2004 22:28

une petite recherche dans google te dira ce que c'est un firewall stateful <IMG SRC="images/smiles/icon_smile.gif"> <BR>pour exemple le premier lien trouvé avec google recherche FR : <BR><!-- BBCode auto-link start --><a href="http://www.securite.teamlog.com/publication/7/13/77/" target="_blank">http://www.securite.teamlog.com/publication/7/13/77/</a><!-- BBCode auto-link end --> <BR> <BR>Le problème avec les 805 est que d'origine ils n'ont pas d'ios firewall. <BR>Pour pouvoirle faire il faut mettre un ios firewall, il faudra surement upgrader la flash et la ram ainsi qu'acheter l'ios. <BR>Le top serait de mettre un équipement avant ton routeur, demander un /30 à ton opérateur virer le nat sur le 805 et voila. <BR>Concernant l'équipement tu peux mettre soit un cisco soho 91 ou un linux <BR>Pour info un cisco soho91 est un routeur double Ethernet qui fait firewall et ipsec en 3des (vérifie la législation en Tunisie). <BR>Si tu as une machine deja dispo, teste l'une des distribs dispo sur ce site, ou bien si tu n'en as pas le cisco91 coute moins de 250 euros (cela dépend de ta remise chez ton fournisseur Cisco). <BR> <BR>Raphaël
Avatar de l’utilisateur
Mouarf-fr
Quartier Maître
Quartier Maître
 
Messages: 19
Inscrit le: 11 Nov 2003 01:00

Messagepar noussa » 03 Jan 2004 10:29

je vais essayer. <BR>vous m'avez dit ulterieurement que c simple de bloquer des ports. est ce que je peux savoir comment? <BR>merci <BR> <IMG SRC="images/smiles/icon_cry.gif">
Qui veut faire quelque chose trouve un moyen.-Qui ne veut rien faire trouve une excuse.
Avatar de l’utilisateur
noussa
Matelot
Matelot
 
Messages: 6
Inscrit le: 24 Déc 2003 01:00

Messagepar Mouarf-fr » 04 Jan 2004 17:53

Et bien tu peux filtrer de la manière suivante : <BR>par exemple autoriser uniquement le proxy à naviguer sur le port 80: <BR> <BR>access-list 199 permit tcp host 192.168.100.1 any eq 80 <BR>access-list 199 deny tcp any any eq 80 <BR>access-list 199 permit ip any any <BR> <BR> <BR>Raphaël <BR>
Avatar de l’utilisateur
Mouarf-fr
Quartier Maître
Quartier Maître
 
Messages: 19
Inscrit le: 11 Nov 2003 01:00

Messagepar Pintjous » 18 Jan 2004 07:57

Merci Noussa <BR>tu nous donnes ton adress ip fix et tu nous explique que le port reste ouvert en 23 <BR>donne nous aussi ton pass du routeur comme ca t'es sur que demain il est planter!!! <BR> <BR>
La liberté de chaqu'un s'arrête où commence celle des autres !!!
Avatar de l’utilisateur
Pintjous
Quartier Maître
Quartier Maître
 
Messages: 13
Inscrit le: 21 Nov 2003 01:00
Localisation: Belgique

Messagepar cyberman » 18 Jan 2004 11:41

salut noussa!!!! <BR>noussa ne donne jamais ton ip!!!! <BR>pour limiter l'accer a internet tu peut mettre ipcop derriere le 805 tu securise ton résaux c'est bq mieux <BR>et depuis ipcop tu peut tout faire <IMG SRC="images/smiles/icon_lol.gif"> <BR>bloquer .... autoriser.... <BR>je suppose que tu veux configurer ton cisco pour l'accé a TTN <BR> <IMG SRC="images/smiles/icon_lol.gif">
CELERON 2GHZ 256Mo 20Go
Ipcop-1.4.1.LB.QM.L7 +Advanced Proxy+qos-1.0 = Une merveille
Avatar de l’utilisateur
cyberman
Aspirant
Aspirant
 
Messages: 118
Inscrit le: 26 Août 2003 00:00


Retour vers Configuration matériel réseau

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité