Posté le: Mer Nov 26, 2003 12:20 am Sujet du message: quel est mon problème, une réponse please
Bonjour,
J'ai un applicatif qui utilise des ports spécifiques. Comment faire un port forwarding sur un port ou sur une plage de port ex: 46000 à 46100. Car avec ma config ci dessous cela ne fonctionne pas.
Je cherche également à bloquer tout trafic allant vers internet sauf ceux qui sont autorisés ex: 80, 21, .....
Idem je cherche à bloquer tout trafic ICMP de l'externe vers l'interne.
J'aimerais si possible savoir si ma conf est bonne avec mon ios firewall.
Merci d'avance pour vos réponses.
Voila ma conf qui fonctionne
Current configuration : 3463 bytes
!
version 12.3
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Voila
!
boot-start-marker
boot-end-marker
!
no logging buffered
enable secret 5 xxxxxxxxxxxxxxxxxxxxx
!
username voila password 0 xxxxxxxxxx
no aaa new-model
ip subnet-zero
ip name-server xxxxxxxxxxxx
ip name-server xxxxxxxxxxxxxxxxx
ip dhcp excluded-address 192.168.0.1
ip dhcp excluded-address 192.168.0.3
!
ip dhcp pool CLIENT
import all
network 192.168.0.0 255.255.255.0
default-router 192.168.0.1
lease 0 2
!
!
ip inspect name myfw cuseeme timeout 3600
ip inspect name myfw ftp timeout 3600
ip inspect name myfw rcmd timeout 3600
ip inspect name myfw realaudio timeout 3600
ip inspect name myfw smtp timeout 3600
ip inspect name myfw tftp timeout 30
ip inspect name myfw udp timeout 15
ip inspect name myfw tcp timeout 3600
ip inspect name myfw h323 timeout 3600
!
!
!
interface Ethernet0
ip address 192.168.0.1 255.255.255.0
ip access-group 122 out
ip nat inside
ip tcp adjust-mss 1452
hold-queue 100 out
!
interface ATM0
no ip address
atm vc-per-vp 64
no atm ilmi-keepalive
pvc 8/35
pppoe-client dial-pool-number 1
!
dsl operating-mode auto
!
interface Dialer1
ip address negotiated
ip access-group 111 in
ip mtu 1492
ip nat outside
ip inspect myfw out
encapsulation ppp
ip tcp adjust-mss 1452
dialer pool 1
dialer remote-name redback
dialer-group 1
no cdp enable
ppp authentication pap chap callin
ppp chap hostname xxxxxxxxxxx
ppp chap password 0 xxxxxxxxxx
ppp pap sent-username xxxxxxx password 0 xxxxxxxxx
ppp ipcp dns request
ppp ipcp wins request
!
ip nat inside source list 102 interface Dialer1 overload
ip nat inside source static tcp 192.168.0.3 46000 interface Dialer1 46000
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer1
ip http server
!
access-list 102 permit ip 192.168.0.0 0.0.0.255 any
access-list 111 permit tcp any any eq 46000
access-list 111 permit tcp any any eq telnet
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any traceroute
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq bootps any eq bootpc
access-list 111 permit udp any eq bootps any eq bootps
access-list 111 permit udp any eq domain any
access-list 111 permit esp any any
access-list 111 permit udp any any eq isakmp
access-list 111 permit udp any any eq 10000
access-list 111 permit tcp any any eq 1723
access-list 111 permit tcp any any eq 139
access-list 111 permit udp any any eq netbios-ns
access-list 111 permit udp any any eq netbios-dgm
access-list 111 permit gre any any
access-list 111 permit tcp any any eq 46000
access-list 111 deny ip any any
access-list 122 deny tcp any any eq telnet
access-list 122 permit ip any any
dialer-list 1 protocol ip permit
!
control-plane
!
!
line con 0
transport preferred all
transport output all
line vty 0 4
exec-timeout 120 0
login
length 0
transport preferred all
transport input all
transport output all
!
scheduler max-task-time 5000
!
end
Posté le: Mer Nov 26, 2003 11:59 am Sujet du message:
Bonjour,
Je demande si possible également les explications suivantes :
Je vois bien les access-list 111 et 122 ainsi que les ip access-groupe 1111 et 122 sur les interfaces.
Par contre il y a une access-list 102 et elle s'applique ou celle là ? au dialer ?
si je tape encore une commande du type ip nat inside source static.... elle va s'appliquer sur le dialer parcequ'il y a la commande :
ip nat inside source list 102 interface Dialer1 overload
Vous ne pouvez pas poster de nouveaux sujets dans ce forum Vous ne pouvez pas répondre aux sujets dans ce forum Vous ne pouvez pas éditer vos messages dans ce forum Vous ne pouvez pas supprimer vos messages dans ce forum Vous ne pouvez pas voter dans les sondages de ce forum
quel est mon problème, une réponse please
