bonjour,
j'utilise un 1721 avec wic adsl pour mon reseau local!
j'applique donc du NAT.
192.168.0.1 : ip LAN du routeur
192.168.0.10 : serveur web

 
de l'exterieur si j'attaque mon IP WAN en http (80) je me retrouve bien sur mon serveur!
de l'exterieur si j'attaque mon IP WAN en telnet (23) je tombe sur le routeur.
 
ce que je voudrais faire c'est bloquer tout le traffic entrant NON naté a destination du routeur (donc bloquer telnet par exemple)
sachant que le routeur fait aussi serveur dns (que je voudrais aussi bloquer de l'exterieur).
 
je ne vois pas trop comment m'y prendre

tu veux bloquer TOUT le trafic ou juste le telnet et le DNS ?

access-list 101 deny tcp any ip_de_la_pate_ext 0.0.0.0 eq 23
access-list 101 deny ip 0.0.0.0 255.255.255.255 ip_de_la_pate_ext 0.0.0.0 eq 53
access-list 101 permit ip any any (en fait, là tu mets ce que tu veux, car si tu ne veux rien autoriser, tu fait juste un deny any any)
int interface_ext
ip access-group 101 out
 
 
????

oui, pendant un temps j'avais fais ceci, seulement ca ne me convenait pas car je prefere appliquer une politique de securité restrictive que permissive!
je pense avoir trouvé la solution : l'utilisation des RACL (Reflexive Access Lists) voici le topic sur un autre forum : http://forum.labo-cisco.com/viewtopic.php?t=3495 (pour les courageux)