Les forums sont fermés. Ils restent présent pour consultation et archivage.
Vous pouvez désormais poser vos questions directement dans les commentaires en bas de chaque page du site.
Alors n'hésitez pas à participer

Access list routeur cisco

Bonjour, Je débute en routeur cisco Je dois configurer des access-list sur mon routeur Je vous explique ce que je veux faire J'ai un routeur 2821 avec 2 ports GigaEthernet J'ai une plage d'address publique 192.112.192.101 à 192.112.192.111 J'ai un serveur FTP en 192.168.1.150 Interface GigaEthernet0/0 relié à internet Interface GigaEthernet0/1 relié au Lan interne Voila ma config : Routeur(config)#interface GigabitEthernet0/0 Routeur(config)#description Interco WAN Routeur(config)#ip adress 217.112.192.101 255.255.255.240 Routeur(config)#no shutdown Routeur(config)#Ip nat outside Routeur(config)#ip virtual-reassembly Routeur(config)#duplex full Routeur(config)#speed auto ! Routeur(config)#interface GigabitEthernet0/1 Routeur(config)#description Interface LAN Routeur(config)#ip address 192.168.1.10 255.255.255.0 Routeur(config)#ip nat inside Routeur(config)#ip virtual-reassembly Routeur(config)#duplex full Routeur(config)#100 ! Routeur(config)#ip default-gateway 217.112.192.111 Routeur(config)#ip classless Routeur(config)#ip route 0.0.0.0 217.112.192.111 ! Routeur(config)#ip http server -> j'active le serveur http Routeur(config)#ip http access-class 23 Routeur(config)#ip http athentification locale Routeur(config)#ip http secure-server -> j'active le serveur https Routeur(config)#ip nat translation timeout never Ici je bind mon serveur ftp sur le wan Routeur(config)#ip nat inside source static 192.168.1.150 217.112.192.102 Ici je souhaite authoriser les flux de tout mon réseau qui est en 192.168.1.x Routeur(config)#access-list 10 permit 192.168.1.0 Ici je souhaite interdire la connection FTP et laisser ouvert tous les autres ports pour tout le monde ( aussi bien des connection venant de l'internet que de mon réseau privé ) Niveau sécurité c'est nul mais c'est juste pour faire des tests. Routeur(config)#access-list101 deny tcp eq ftp Routeur(config)#access-list101 permit any any .... Donc cela ne fonctionne pas. Le serveur ftp ping sur l'ip 217.112.192.102 donc le Nat fonctionne Par contre j'arrive toujours à me connecter sur le port 21 ftp>open .... Connection successfull .. Merci pour votre aide Cdt

Premiére chose que j'ai remarqué c'est la syntaxe de ta ACL. je vois que tu veux bloquer un service (FTP) donc tu dois appliquer une ACL étendue puisque c'est ce type qui examine les @ IP et les ports aussi bien source que destination. Routeur(config)#access-list 101 deny tcp [ @ source ] [ Masque générique ] host [@ de ton server ftp] eq ftp Routeur(config)#access-list 101 permit any any là t'as fait que tapper la commande , faut aprés l'ACTIVER sur un interface!! Et quand il s'agit d'une ACL étendue, faut la placer sur l'interface le plus proche à la source .. [u:518759ced2]Pour l'activer :[/u:518759ced2]Router(config-if)#ip access-group 101 out

Voilà, J'ai fait une nouvelle configuration J'ai voulu bloquer les ports suivants : www, ftp, rdp Voilà mes ACL access-list 101 permit tcp any any eq www access-list 101 permit tcp any any eq ftp access-list 101 permit tcp any any eq 3389 j'ai aussi créé l'access-group sur mon port du routeur Giga-eth 0/0 IP access-group 101 in Cela fonctionne très bien, le ftp aussi. J'ai cependant un autre problème un peu plus compliqué Sur mon réseau interne j'ai mon pc avec l'ip : 192.168.1.150 Je l'ai NATé sur l'ip Publique : 217.112.192.102 Depuis que j'ai configuré l'access-group 101 sur mon port du routeur, je n'ai plus accès au web depuis mon pc J'ai ajouté l'access-list suivant : access-list 101 permit tcp any any gt 1023 established Mais cela ne fonctionne pas. Pouvez-vous me dire ou est mon erreur Merci d'avance Ma config entière ci-dessous Routeur(config)#interface GigabitEthernet0/0 Routeur(config)#description Interco WAN Routeur(config)#ip adress 217.112.192.101 255.255.255.240 Routeur(config)#no shutdown Routeur(config)#ip access-group 101 in Routeur(config)#Ip nat outside Routeur(config)#ip virtual-reassembly Routeur(config)#duplex full Routeur(config)#speed auto ! Routeur(config)#interface GigabitEthernet0/1 Routeur(config)#description Interface LAN Routeur(config)#ip address 192.168.1.10 255.255.255.0 Routeur(config)#ip nat inside Routeur(config)#ip virtual-reassembly Routeur(config)#duplex full Routeur(config)#100 ! Routeur(config)#ip default-gateway 217.112.192.111 Routeur(config)#ip classless Routeur(config)#ip route 0.0.0.0 217.112.192.111 ! Routeur(config)#ip http server Routeur(config)#ip http access-class 23 Routeur(config)#ip http athentification locale Routeur(config)#ip http secure-server Routeur(config)#ip nat translation timeout never Routeur(config)#ip nat inside source static 192.168.1.150 217.112.192.102 Routeur(config)#access-list 10 permit 192.168.1.0 Routeur(config)#access-list 101 permit tcp any any eq www Routeur(config)#access-list 101 permit tcp any any eq ftp Routeur(config)#access-list 101 permit tcp any any eq 3389 .....

bonjour, il y a une chose que tu dois savoir sur les acl cisco : Tout ce qui n'est pas autorisé est interdit ! cela signifie que implicitement à la fin de tes trois lignes d'ACL le routeur en rajoute une tout seul : Access list 101 deny ip any any et te bloque tout le reste du trafic que tu n'as pas autorisé. si tu veux voir ce qu'il bloque tu peux écrire toi meme cette commande : Access list 101 deny ip any any LOG à la fin de ton access list comme cela chaque paquet bloqué sera logé et affiché à la console. en gros tu as oublié de lui indiquer qu'il devait autoriser les paquets destinés à la machine que tu as natté. attention comme elle est naté et que le filtre ACL se fait en premier lieu, tu devras tenir compte de ton adresse publique lorsque tu ajoutera la règle t'autorisant la navigation. je signale aussi pour information que ta règle : acces-list 101 permit TCP any any eq www n'autorise qu'une machine exterieure à se connecter a un serveur www que tu aurais en interne si tu veux autoriser la navigation http de tes machines la regle devrait etre : access-list 101 permit TCP any eq www any car dans ce cas tu dois autoriser le retour du serveur web (donc c'est le port source qui est en www et non pas le destination). en esoérant avoir été assez clair.