Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
4094 connectés 

  FORUM HardWare.fr
  Windows & Software

  besoin connaisseur en config de routeur

 
 


Dernière réponse
Sujet : besoin connaisseur en config de routeur
dairrik donc la j'en arrive pour l'instant a ca :
 
[...]  
interface Ethernet1/2  
description DMZ  
ip address 192.168.116.12 255.255.255.0  
ip nat inside  
no cdp enable  
ip access-group 100 out  
!  
!  
ip nat inside source static 192.168.116.12 (ip publique)  
!  
access-list 100 remark ***DMZ vers LAN***  
access-list 100 permit tcp host 192.168.116.1 192.168.0.0 0.0.255.255 eq 20  
access-list 100 permit tcp host 192.168.116.1 192.168.0.0 0.0.255.255 eq 21  
access-list 100 deny ip 192.168.116.0 0.0.0.255 192.168.0.0 0.0.255.255  
access-list 100 deny ip 192.168.116.0 0.0.0.255 172.16.0.0 0.0.255.255
access-list 100 permit ip any any (je veux permettre toutes les connexions vers l'extérieur restantes)
!  
[...]  

Votre réponse
Nom d'utilisateur    Pour poster, vous devez être inscrit sur ce forum .... si ce n'est pas le cas, cliquez ici !
Le ton de votre message                        
                       
Votre réponse
[b][i][u][strike][spoiler][fixed][cpp][url][email][img][*]   
 
   [quote]
 
Options

 
Vous avez perdu votre mot de passe ?


Vue Rapide de la discussion
dairrik donc la j'en arrive pour l'instant a ca :
 
[...]  
interface Ethernet1/2  
description DMZ  
ip address 192.168.116.12 255.255.255.0  
ip nat inside  
no cdp enable  
ip access-group 100 out  
!  
!  
ip nat inside source static 192.168.116.12 (ip publique)  
!  
access-list 100 remark ***DMZ vers LAN***  
access-list 100 permit tcp host 192.168.116.1 192.168.0.0 0.0.255.255 eq 20  
access-list 100 permit tcp host 192.168.116.1 192.168.0.0 0.0.255.255 eq 21  
access-list 100 deny ip 192.168.116.0 0.0.0.255 192.168.0.0 0.0.255.255  
access-list 100 deny ip 192.168.116.0 0.0.0.255 172.16.0.0 0.0.255.255
access-list 100 permit ip any any (je veux permettre toutes les connexions vers l'extérieur restantes)
!  
[...]  
Krapaud et finir par un deny any -> any
dairrik

gth29 a écrit :

oui le deny any any est implicite à partir du moment où tu fais une ACL. Mais les ACLs fonctionnent comme les règles d'un firewall, elle commence par la 1ère et descend les unes après les autres donc du coup, il ne va jamais vérifier le reste de tes ACLs car tu autorises tout dès le début.
Pour faire de bonnes ACLs, il faut commencer par les ACLs concernant les plages les plus précises et finir par les ACLs concernant les plages les plus larges.
 
GTH29


 
 :jap:  un grand merci pour cette info je le savais pas

gth29 oui le deny any any est implicite à partir du moment où tu fais une ACL. Mais les ACLs fonctionnent comme les règles d'un firewall, elle commence par la 1ère et descend les unes après les autres donc du coup, il ne va jamais vérifier le reste de tes ACLs car tu autorises tout dès le début.
Pour faire de bonnes ACLs, il faut commencer par les ACLs concernant les plages les plus précises et finir par les ACLs concernant les plages les plus larges.
 
GTH29
dairrik merci de ta réponse mais du peu que je sais si on ne met pas permit any any
il y a un deny any any implicite
 
access-list 100 permit ip any any  ->autorise tout
access-list 100 deny ip 192.168.116.0 0.0.0.255 192.168.0.0 0.0.255.255 ->sauf vers le LAN qui commence par 192.168...
access-list 100 deny ip 192.168.116.0 0.0.0.255 172.16.0.0 0.0.255.255  ->sauf vers le LAN qui commence par 172.16...  
access-list 100 permit tcp host 192.168.116.1 192.168.0.0 0.0.255.255 eq 20 -> mais autorise le ftp data vers le LAN qui commence par 192.168...
access-list 100 permit tcp host 192.168.116.1 192.168.0.0 0.0.255.255 eq 21 mais autorise le ftp control vers le LAN qui commence par 192.168...  
 
en tout cas c'est ce que je voudrais que ca fasse
si quelqu'un voit autre chose
whiteburner heuu me semble que si tu met permit any any c cuit , non ?
 
WB.
dairrik http://dairrik.free.fr/gif_1.gif  
 
bonjour tout le monde  
J'étudie l'installation d'un serveur web en dmz.  
Je dispose d'un 2612 avec des pattes libres sur une desquelles je compte installer la dmz.  
Les users du LAN doivent pouvoir uploader des fichiers par ftp sur le serveur web par contre il ne doit y avoir aucun acces de la dmz vers le LAN. Le firewall du FAI ne laisse presque rien passer mais il y a déjà une webcam qui diffuse par le port 80 sur le net sans problème pour l'instant.  
 
j'ai fait cette ACL pour la dmz : (voir schéma)  
si quelqu'un peut me la vérifier....  
 
 
[...]  
interface Ethernet1/2  
description DMZ  
ip address 192.168.116.12 255.255.255.0  
ip nat inside  
no cdp enable  
ip access-group 100 out  
!  
!  
ip nat inside source static 192.168.116.12 (ip publique)  
!  
access-list 100 remark ***DMZ vers LAN***  
access-list 100 permit ip any any  
access-list 100 deny ip 192.168.116.0 0.0.0.255 192.168.0.0 0.0.255.255  
access-list 100 deny ip 192.168.116.0 0.0.0.255 172.16.0.0 0.0.255.255  
access-list 100 permit tcp host 192.168.116.1 192.168.0.0 0.0.255.255 eq 20  
access-list 100 permit tcp host 192.168.116.1 192.168.0.0 0.0.255.255 eq 21  
!  
[...]  
 
Merci à tous

Forum MesDiscussions.Net, Version 2010.2
(c) 2000-2011 Doctissimo

Copyright © 1997-2025 Groupe LDLC (Signaler un contenu illicite / Données personnelles)