Index - FAQ - Rechercher - Membres - Groupes - S'enregistrer - Messages Privés - Connexion
petit soucis ACL

 
Poster un nouveau sujet   Répondre au sujet    Forum du Laboratoire SUPINFO des Technologies Cisco Index du Forum -> Configuration et problèmes de sécurité | Configurations and security problems
Voir le sujet précédent :: Voir le sujet suivant  
Auteur Message
fabz
Visiteur
Visiteur


Inscrit le: 02 Nov 2003
Messages: 3
Localisation: French Polynesia
MessagePosté le: Dim Nov 02, 2003 6:40 am    Sujet du message: petit soucis ACL Répondre en citant
Bonjour,

Sur un Cisco 837, connecté en ADSL chez un FAI.
IP dynamique.
NAT INSIDE sur l'interface ethernet.
et NAT OUTSIDE sur le Dialer.

J'ai une access-list étendue qui me bloque mon traffic entrant sur l'interface Dialer. Je sors bien, mais au retour, j'ai un deny (tous protocoles confondus, www, smtp, etc...)
A noter que c'est une ACL qui interdit par défaut. (on interdit ce qui n'est pas explicitement autorisé)

je dresse les acl en autorisant les connexions établies sur la classe d'adresses du LAN

Le probleme :

Les deny loggués m'indiquent la bonne source, et en destination de paquets, j'ai l'IP dynamique attribuée par mon FAI.
Comme mes ACL indiquent des adresses locales, forcément, c'est bloqué par l'ACL étendue entrant sur l'interface Dialer...
Est-ce à cause du NAT ?
Du coup à part tout autoriser, je ne vois pas comment faire.

Mon ACL sur Dialer IN :

access-list 151 deny tcp any any range 32771 32789 log
access-list 151 permit tcp any eq domain 192.168.10.0 0.0.0.255 established
access-list 151 permit udp any eq domain 192.168.10.0 0.0.0.255
access-list 151 permit tcp any 192.168.10.0 0.0.0.255 eq 443
access-list 151 permit tcp any eq 443 any established
access-list 151 permit tcp any 192.168.10.0 0.0.0.255 eq ftp
access-list 151 permit tcp any eq ftp 192.168.10.0 0.0.0.255
access-list 151 permit tcp any 192.168.10.0 0.0.0.255 eq ftp-data
access-list 151 permit tcp any eq ftp-data 192.168.10.0 0.0.0.255
access-list 151 permit tcp any eq 22 192.168.10.0 0.0.0.255 established
access-list 151 permit tcp any eq nntp 192.168.10.0 0.0.0.255 established
access-list 151 deny ip 127.0.0.0 0.255.255.255 any
access-list 151 deny ip 192.9.200.0 0.0.0.255 any
access-list 151 permit tcp any 192.168.10.0 0.0.0.255 established
access-list 151 permit udp any 192.168.10.0 0.0.0.255 gt 1023
access-list 151 deny ip any any log

Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé Envoyer un e-mail Visiter le site web de l'utilisateur
azertypolo
Visiteur
Visiteur


Inscrit le: 24 Oct 2003
Messages: 5
MessagePosté le: Mar Nov 04, 2003 1:28 pm    Sujet du message: Répondre en citant
Bonjour,
je crois que ton access-list 151 deny ip any any log est à la base. Dans ton cas, tu devras deny les protocoles TCP et UDP qui ont pour source des @ privées à destination de ton interface dialer sauf permission exceptionnelle. Et comme cela suppose un deny implicite, tu finira par access-list 151 permit ip any any


Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé Envoyer un e-mail
Montrer les messages depuis:   
Poster un nouveau sujet   Répondre au sujet    Forum du Laboratoire SUPINFO des Technologies Cisco Index du Forum -> Configuration et problèmes de sécurité | Configurations and security problems Toutes les heures sont au format GMT + 2 Heures
Page 1 sur 1

 
Sauter vers:  
Vous ne pouvez pas poster de nouveaux sujets dans ce forum
Vous ne pouvez pas répondre aux sujets dans ce forum
Vous ne pouvez pas éditer vos messages dans ce forum
Vous ne pouvez pas supprimer vos messages dans ce forum
Vous ne pouvez pas voter dans les sondages de ce forum


Powered by phpBB © phpBB Group
phpBB SEO

© Copyright 2000-2005 SUPINFO Paris, Paris Academy of Computer Science
23, rue de Château Landon - 75010 PARIS - Tél : +33 (0) 153359700 Fax : +33 (0) 153359701
Conditions d'utilisation et Copyright |  Respect de la vie privée

Site audité par