[Réglé]Cisco 827 , cherche config acl sécurisé

Cisco 827 , cherche config acl sécurisé [Réglé] - Windows & Software

Marsh Posté le 08-05-2004 à 13:33:20    

Hi All ,
 
Je recherche des ACL pour sécurisés  mon routeur , en bloquant tout , et en autorisant que les truc de bases , telnet ,dns, pop , smtp et ftp .
 
merci des régles antispoofing et macspoofing m'intéresse aussi , car mon c827 ne passe pas les test grs hallucinant pour un matos de haute gamme .
 
et merci de m'indiquer la procédure pour créer  et appliquer des ACL en français svp ( je ne veux pas de liens vers des sites cisco qui sont pas claires et puis débrouille toi  :lol: )
Merci d'avance  
 
 
pour info je n'ai qu'un pc connecté au routeur  
IP :10.0.0.1
Mask:255.0.0.0
Gateway 10.0.0.138
 :)


Message édité par seiyar le 15-06-2004 à 00:16:43
Reply

Marsh Posté le 08-05-2004 à 13:33:20   

Reply

Marsh Posté le 08-05-2004 à 15:06:21    

:bounce:

Reply

Marsh Posté le 08-05-2004 à 16:32:35    

:bounce:

Reply

Marsh Posté le 08-05-2004 à 20:07:53    

:(

Reply

Marsh Posté le 10-05-2004 à 14:41:20    

:bounce:

Reply

Marsh Posté le 10-05-2004 à 15:08:21    

tu postes aussi sur www.ixus.net ?.

Reply

Marsh Posté le 10-05-2004 à 16:19:04    

ACL IP :
 
Elles permettent de filtrer le trafic. Elles peuvent être nommées et doivent être appliquées au plus près du trafic concerné.
 
Numéro attribution ACL
On affecte aux ACLs un numéro :
 
Protocole Plage
IP         1-99
IP étendu 100-199
Appletalk 600-699
IPX         800-899
IPX étendu 900-999
Protocole IPX Service Advertising 1000-1099
 
ACL standard Vs ACL étendues
Les ACLs standards permettent d’interdire ou d’autoriser un host ou un réseau sans distinction du protocole de couche 4 et/ou du port utilisé.
Les ACLs étendues permettent de filtrer de manière plus précise en vérifiant les adresses d’origine, de destination, le protocole utilisé (TCP, UDP ou ICMP), ainsi que le numéro de port utilisé (TCP 80, TCP 21, TCP25, UDP 53…). Ce type d’ACL implique un plus grand temps de latence, et une syntaxe plus complexe.
 
 
Assignation d’une ACL standard ou étendue  à une interface :
Syntaxe :
Router(config-if)# {protocole} access-group {N° liste d’accès} {in|out}
 
Exemple :
Router(config-if)# ip access-group 1 in
Router(config-if)# ip access-group 101 out
 
Remarque:
Out est la valeur par défaut.
 
ACL standard
Définition d’une liste ACL :
 
Syntaxe :
Router(config)# access-list {N° liste d’accès} {permit|deny} {condition}
 
Exemple :
Router(config)# access-list 1 permit 10.10.0.0   0.0.255.255    
Autorise le trafic en provenance du réseau 10.10.0.0/16
Router(config)# access-list 2 deny 10.20.0.0   0.0.255.255    
Interdit le trafic en provenance du réseau 10.20.0.0/16
 
 
Commandes Spécifiques:
Any
 
Sert à indiquer n’importe quelle adresse.
Equivaut à « 0.0.0.0    255.255.255.255 »
 
 
Exemple :
Router(config)# access-list 1 permit 0.0.0.0   255.255.255.255    
 
Equivaut à :
Router(config)# access-list 1 permit any
 
Host
 
Sert à indiquer une ip spécifique.
Equivaut à « x.y.w.z    0.0.0.0 »
 
 
Exemple :
Router(config)# access-list 1 permit x.y.w.z    0.0.0.0
 
Equivaut à :
Router(config)# access-list 1 permit host x.y.w.z
 
 
ACL Etendue:
 
Définition de d’une liste ACL étendue :
 
Syntaxe :
Router(config)# access-list {N° liste d’accès} {permit|deny} [protocole] source [source_mask] [operateur operant] destination [destination_mask] [operateur operant] established
 
Paramètre Description
N° liste d’accès          100-199
Permit|Deny                  Autorise ou bloque
Protocole                  IP, TCP, UDP ou ICMP
Source et Destination          @IP source / @IP destination
Mask source et Mask destination  Complément à 1 du masque souhaité
Operateur operant          If, gt, lt, eq, neq suvi d’un N° de port
Established                  Permet au trafic de passer, si celui-ci utilise une connexion établie (ACK)
 
 
Exemple :
Router(config)# access-list 101 deny tcp 10.10.0.0   0.0.255.255  any eq 21
Bloque le trafic ftp en provenance du réseau 10.10.0.0/16 vers toute destination.
Router(config)# access-list 101 permit ip 10.10.0.0   0.0.255.255  any
Autorise le reste du trafic en provenance de ce même réseau.
 
Remarque :
L’instruction deny any any est implicite.
 
 
 
Vérification d’ACL :
 
Show ip interface :
• Fournit les informations relatives à l’interface
• Affiche si des ACL sont configurés sur ces interfaces
 
Show access-list
• Affiche le contenu de toutes les listes de contrôle d’accès.
 
 
 
 
Hope it will help


---------------
Vds Clavier MIDI Roland D-20 : 30 euros sur paris
Reply

Marsh Posté le 10-05-2004 à 20:57:21    

Merci Tiramissu75 :jap:  
 
@vrobaina
 
Ouais pq ?? :hello:  
 
 
---
 
sinon je me suis fait ma petite config sécurisée qui passe tous les tests de sécurités PC flank , grc an co.
 

Code :
  1. ip nat translation timeout 3600
  2. ip nat translation tcp-timeout 3600
  3. ip nat translation udp-timeout 1200
  4. ip nat translation finrst-timeout 300
  5. ip nat translation syn-timeout 120
  6. ip nat translation dns-timeout 300
  7. ip nat translation icmp-timeout 120
  8. ip nat translation max-entries 4096
  9. ip nat inside source list 1 interface Dialer1 overload
  10. ip nat inside source list 102 interface Dialer1 overload
  11. ip nat inside source static tcp 10.0.0.1 9999 interface Dialer1 9999
  12. ip nat inside source static udp 10.0.0.1 10000 interface Dialer1 10000
  13. ip nat inside source static tcp 10.0.0.1 10002 interface Dialer1 10002
  14. ip nat inside source static tcp 10.0.0.1 10003 interface Dialer1 10003
  15. ip classless
  16. ip route 0.0.0.0 0.0.0.0 Dialer
  17. p classless
  18. ip route 0.0.0.0 0.0.0.0 Dialer1
  19. ip http server
  20. !
  21. access-list 23 permit 10.0.0.0 0.255.255.255
  22. access-list 102 permit ip 10.0.0.0 0.255.255.255 any
  23. access-list 111 permit tcp any any eq 10003
  24. access-list 111 permit tcp any any eq 10002
  25. access-list 111 permit udp any any eq 10000
  26. access-list 111 permit tcp any any eq 9999
  27. access-list 111 permit icmp any any administratively-prohibited
  28. access-list 111 permit icmp any any unreachable
  29. access-list 111 permit udp any eq bootps any eq bootpc
  30. access-list 111 permit udp any eq bootps any eq bootps
  31. access-list 111 permit udp any eq domain any
  32. access-list 111 permit esp any any
  33. access-list 111 permit udp any any eq isakmp
  34. access-list 111 permit tcp any any eq 1723
  35. access-list 111 permit gre any any
  36. access-list 111 deny   icmp any any
  37. access-list 111 deny   ip any any
  38. dialer-list 1 protocol ip permit


 
 
vous en pensez quoi les gars ???  :hello:  
 

Reply

Marsh Posté le 10-05-2004 à 21:01:00    

Pas mal mais j'aurai rajouter sur l'ACL 111 des deny sur les adresses IP lan.
 

Reply

Marsh Posté le 10-05-2004 à 21:06:57    

Voice les 2 ACL que j'ai sur le mien :
 
 
access-list 102 remark flux sortant
access-list 102 deny   udp any any eq netbios-ns
access-list 102 deny   udp any any eq netbios-dgm
access-list 102 deny   udp any any eq netbios-ss
access-list 102 deny   tcp any any eq 135
access-list 102 deny   udp any any eq 135
access-list 102 deny   tcp any any eq 139
access-list 102 permit ip 10.10.10.0 0.0.0.255 any
access-list 102 deny   ip any any
 
 
access-list 111 remark Flux Entrant
access-list 111 deny   ip 10.0.0.0 0.255.255.255 any
access-list 111 deny   ip 127.0.0.0 0.255.255.255 any
access-list 111 deny   ip host 0.0.0.0 any
access-list 111 deny   ip any host 255.255.255.255
access-list 111 deny   ip host 255.255.255.255 any
access-list 111 permit icmp any any unreachable
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any source-quench
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any ttl-exceeded
access-list 111 deny   icmp any any
access-list 111 permit udp any eq isakmp any eq isakmp
access-list 111 permit gre any any
access-list 111 permit tcp any any eq 1723
access-list 111 permit tcp any any eq 1731
access-list 111 deny   ip any any


Message édité par vrobaina le 10-05-2004 à 21:09:55
Reply

Marsh Posté le 10-05-2004 à 21:06:57   

Reply

Marsh Posté le 10-05-2004 à 21:15:19    

Citation :

access-list 111 permit tcp any any eq 1731  
access-list 111 permit icmp any any source-quench


 
 
sa correspond à quoi ces régles ???
 
1723 c'est pour MSN et Net Meeting mais 1731 ???
 
 
PS : les ports 9999-1000 c pour la mule et 10002-10003 pour bitto :whistle:


Message édité par seiyar le 10-05-2004 à 21:17:45
Reply

Marsh Posté le 10-05-2004 à 21:26:51    

Ces 3 lignes sont optionelles :
 
port 1723 : c'est pour faire du pppt
port 1731 : VPN Ipsec.
 
La 3ieme : de tete (je ne connais par coeur les RFC consernant les trames ICMP...) c'est une trame icmp qui contient un code retour/erreur.


Message édité par vrobaina le 10-05-2004 à 21:30:05
Reply

Marsh Posté le 10-05-2004 à 21:31:37    

oki merci :jap:  :hello:

Reply

Marsh Posté le 10-05-2004 à 21:31:45    

seiyar a écrit :

Citation :

access-list 111 permit tcp any any eq 1731  
access-list 111 permit icmp any any source-quench


 
 
sa correspond à quoi ces régles ???
 
1723 c'est pour MSN et Net Meeting mais 1731 ???
 
 
PS : les ports 9999-1000 c pour la mule et 10002-10003 pour bitto :whistle:


 
Chez moi le 9999 c'est pour VNC, le 10000 c'est WebMin.
Qt aux softs de p2p, je n'utilise aucun ports par defaut.

Reply

Marsh Posté le 10-05-2004 à 21:34:19    

Par contre as-tu un IOS contenant les fonctions de Firewall ?. Car dans ta confgi, je ne vois aucunes lignes du genre :
 
ip inspect name myfw udp timeout 15
ip inspect name myfw tcp timeout 3600
...

Reply

Marsh Posté le 10-05-2004 à 21:45:08    

ouais j'ai le dernier IOS le 12.3  :hello:  
j'ai pas fait un copier coller de tout voila pq ;)
 

Code :
  1. ip inspect name myfw cuseeme timeout 3600
  2. ip inspect name myfw ftp timeout 3600
  3. ip inspect name myfw rcmd timeout 3600
  4. ip inspect name myfw realaudio timeout 3600
  5. ip inspect name myfw smtp timeout 3600
  6. ip inspect name myfw tftp timeout 30
  7. ip inspect name myfw udp timeout 15
  8. ip inspect name myfw tcp timeout 3600
  9. ip inspect name myfw h323 timeout 3600


 
 :D  
 
 
h323  c pour MSN (sa marche nickel pour les transferts de fichiers ,les conférences audio et video)je me suis gouré taleur avec le port 1723 ;)


Message édité par seiyar le 15-06-2004 à 09:58:29
Reply

Marsh Posté le 10-05-2004 à 21:47:36    

vrobaina a écrit :


Qt aux softs de p2p, je n'utilise aucun ports par defaut.


 
idem :whistle:

Reply

Marsh Posté le 10-05-2004 à 21:47:42    

Je vois qu'on a le meme IOS et pratiquement le meme parametrage.
 

Reply

Marsh Posté le 10-05-2004 à 21:51:14    

vrobaina a écrit :

Je vois qu'on a le meme IOS et pratiquement le meme parametrage.


 
 
yes mais pas la même maitrise du routeur ,  moi je suis un newb avec Cisco , j'avais fais une formation Admin Réseaux (W2k Server-Unix Linux ,Cisco) , j'ai pratiquement oubliés pas mal de truc par manque de pratique  :( , bah ouais les entreprises ne laissent pas les débutants faire leur preuves  :pfff:  
 

Reply

Marsh Posté le 05-06-2004 à 20:40:39    

J'ai un cisco c827 avec le dernier IOS c820-oy6-mz.123-8.T.bin , ios 12.3(8)T
 
voici mon sh run
 

Code :
  1. !
  2. version 12.3
  3. no service pad
  4. service timestamps debug datetime msec
  5. service timestamps log datetime msec
  6. no service password-encryption
  7. !
  8. hostname Kamui
  9. !
  10. boot-start-marker
  11. boot-end-marker
  12. !
  13. no logging buffered
  14. enable secret xxxxxxxxxxxxxxxxxxxxxx
  15. !
  16. username Kamui password 0 xxxxxxxxx
  17. no aaa new-model
  18. ip subnet-zero
  19. no ip source-route
  20. ip dhcp excluded-address 10.0.0.138
  21. !
  22. ip dhcp pool CLIENT
  23.    import all
  24.    network 10.0.0.0 255.0.0.0
  25.    default-router 10.0.0.138
  26.    lease 0 2
  27. !
  28. !
  29. ip name-server 80.118.196.36
  30. ip name-server 80.118.192.100
  31. ip inspect name myfw cuseeme timeout 3600
  32. ip inspect name myfw ftp timeout 3600
  33. ip inspect name myfw rcmd timeout 3600
  34. ip inspect name myfw realaudio timeout 3600
  35. ip inspect name myfw smtp timeout 3600
  36. ip inspect name myfw tftp timeout 30
  37. ip inspect name myfw udp timeout 15
  38. ip inspect name myfw tcp timeout 3600
  39. ip inspect name myfw h323 timeout 3600
  40. !
  41. !
  42. !
  43. interface Ethernet0
  44. ip address 10.0.0.138 255.0.0.0
  45. no ip proxy-arp
  46. ip nat inside
  47. ip virtual-reassembly
  48. no ip route-cache
  49. hold-queue 100 out
  50. !
  51. interface ATM0
  52. no ip address
  53. atm vc-per-vp 64
  54. no atm ilmi-keepalive
  55. dsl operating-mode auto
  56. pvc 8/35
  57.   encapsulation aal5mux ppp dialer
  58.   dialer pool-member 1
  59. !
  60. !
  61. interface Dialer1
  62. ip address negotiated
  63. ip access-group 111 in
  64. ip nat outside
  65. ip inspect myfw out
  66. ip virtual-reassembly
  67. encapsulation ppp
  68. dialer pool 1
  69. dialer-group 1
  70. ppp authentication chap pap callin
  71. ppp chap hostname xxxxxxxxx
  72. ppp chap password 0 xxxxxxxx
  73. ppp pap sent-username xxxxxxxx password 0 xxxxx
  74. ppp ipcp wins request
  75. hold-queue 224 in
  76. !
  77. ip classless
  78. ip route 0.0.0.0 0.0.0.0 Dialer1
  79. ip http server
  80. ip nat translation timeout 3600
  81. ip nat translation tcp-timeout 3600
  82. ip nat translation udp-timeout 1200
  83. ip nat translation finrst-timeout 300
  84. ip nat translation syn-timeout 120
  85. ip nat translation dns-timeout 300
  86. ip nat translation icmp-timeout 120
  87. ip nat translation max-entries 2147483647
  88. ip nat inside source list 1 interface Dialer1 overload
  89. ip nat inside source list 102 interface Dialer1 overload
  90. ip nat inside source static tcp 10.0.0.1 9999 interface Dialer1 9999
  91. ip nat inside source static udp 10.0.0.1 10000 interface Dialer1 10000
  92. ip nat inside source static tcp 10.0.0.1 10002 interface Dialer1 10002
  93. ip nat inside source static tcp 10.0.0.1 10003 interface Dialer1 10003
  94. ip nat inside source static tcp 10.0.0.1 25000 interface Dialer1 25000
  95. ip nat inside source static tcp 10.0.0.1 25001 interface Dialer1 25001
  96. ip nat inside source static tcp 10.0.0.1 25002 interface Dialer1 25002
  97. ip nat inside source static tcp 10.0.0.1 25003 interface Dialer1 25003
  98. !
  99. access-list 102 remark Flux sortant
  100. access-list 102 permit ip 10.0.0.0 0.255.255.255 any
  101. access-list 102 deny   udp any any eq netbios-ns
  102. access-list 102 deny   udp any any eq netbios-dgm
  103. access-list 102 deny   udp any any eq netbios-ss
  104. access-list 102 deny   tcp any any eq 135
  105. access-list 102 deny   udp any any eq 135
  106. access-list 102 deny   tcp any any eq 139
  107. access-list 111 deny   ip 10.0.0.0 0.255.255.255 any
  108. access-list 111 deny   ip 172.0.0.0 0.240.255.255 any
  109. access-list 111 deny   ip 192.168.0.0 0.0.255.255 any
  110. access-list 111 deny   ip 127.0.0.0 0.255.255.255 any
  111. access-list 111 deny   ip 255.0.0.0 0.255.255.255 any
  112. access-list 111 deny   ip 224.0.0.0 7.255.255.255 any
  113. access-list 111 permit tcp any any eq 25000
  114. access-list 111 permit tcp any any eq 25001
  115. access-list 111 permit tcp any any eq 25002
  116. access-list 111 permit tcp any any eq 25003
  117. access-list 111 permit tcp any any eq 10003
  118. access-list 111 permit tcp any any eq 10002
  119. access-list 111 permit udp any any eq 10000
  120. access-list 111 permit tcp any any eq 9999
  121. dialer-list 1 protocol ip permit
  122. !
  123. control-plane
  124. !
  125. banner motd 
  126. ===Welcome On Kamui Cisco Router!!!====
  127.                                          $,  $,     ,
  128.                                         "ss.$ss. .s'
  129.                                 ,     .ss$$$$$$$$$$s,
  130.                                 $. s$$$$$$$$$$$$$$`$$Ss
  131.                                 "$$$$$$$$$$$$$$$$$$o$$$       ,
  132.                                s$$$$$$$$$$$$$$$$$$$$$$$$s,  ,s
  133.                               s$$$$$$$$$"$$$$$$""""$$$$$$"$$$$$,
  134.                               s$$$$$$$$$$s""$$$$ssssss"$$$$$$$$"
  135.                              s$$$$$$$$$$'         `"""ss"$"$s""
  136.                              s$$$$$$$$$$,              `"""""$  .s$$s
  137.                              s$$$$$$$$$$$$s,...               `s$$'  `
  138.                          `ssss$$$$$$$$$$$$$$$$$$$$####s.     .$$"$.   , s-
  139.                            `""""$$$$$$$$$$$$$$$$$$$$#####$$$$$$"     $.$'
  140.                                  "$$$$$$$$$$$$$$$$$$$$$####s""     .$$$|
  141.                                   "$$$$$$$$$$$$$$$$$$$$$$$$##s    .$$" $
  142.                                    $$""$$$$$$$$$$$$$$$$$$$$$$$$$$$$$"   `
  143.                                   $$"  "$"$$$$$$$$$$$$$$$$$$$$S""""'
  144.                              ,   ,"     '  $$$$$$$$$$$$$$$$####s
  145.                              $.          .s$$$$$$$$$$$$$$$$$####"
  146.                  ,           "$s.   ..ssS$$$$$$$$$$$$$$$$$$$####"
  147.                  $           .$$$S$$$$$$$$$$$$$$$$$$$$$$$$#####"
  148.                  Ss     ..sS$$$$$$$$$$$$$$$$$$$$$$$$$$$######""
  149.                   "$$sS$$$$$$$$$$$$$$$$$$$$$$$$$$$########"
  150.            ,      s$$$$$$$$$$$$$$$$$$$$$$$$#########""'
  151.            $    s$$$$$$$$$$$$$$$$$$$$$#######""'      s'         ,
  152.            $$..$$$$$$$$$$$$$$$$$$######"'       ....,$$....    ,$
  153.             "$$$$$$$$$$$$$$$######"' ,     .sS$$$$$$$$$$$$$$$$s$$
  154.               $$$$$$$$$$$$#####"     $, .s$$$$$$$$$$$$$$$$$$$$$$$$s.
  155.    )          $$$$$$$$$$$#####'      `$$$$$$$$$###########$$$$$$$$$$$.
  156.   ((          $$$$$$$$$$$#####       $$$$$$$$###"       "####$$$$$$$$$$
  157.   ) \         $$$$$$$$$$$$####.     $$$$$$###"             "###$$$$$$$$$   s'
  158. (   )        $$$$$$$$$$$$$####.   $$$$$###"                ####$$$$$$$$s$$'
  159. )  ( (       $$"$$$$$$$$$$$#####.$$$$$###'                .###$$$$$$$$$$"
  160. (  )  )   _,$"   $$$$$$$$$$$$######.$$##'                .###$$$$$$$$$$
  161. ) (  ( \.         "$$$$$$$$$$$$$#######,,,.          ..####$$$$$$$$$$$"
  162. (   )$ )  )        ,$$$$$$$$$$$$$$$$$$####################$$$$$$$$$$$"
  163. (   ($$  ( \     _sS"  `"$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$S$$,
  164. )  )$$$s ) )  .      .   `$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$"'  `$$
  165.   (   $$$Ss/  .$,    .$,,s$$$$$$##S$$$$$$$$$$$$$$$$$$$$$$$$S""        '
  166.     \)_$$$$$$$$$$$$$$$$$$$$$$$##"  $$        `$$.        `$$.
  167.         `"S$$$$$$$$$$$$$$$$$#"      $          `$          `$
  168.             `"""""""""""""'         '           '           '
  169. ===Welcome On Kamui Cisco Router====
  170. !
  171. line con 0
  172. transport preferred all
  173. transport output all
  174. line vty 0 4
  175. exec-timeout 120 0
  176. password xxxxxxxxx
  177. login local
  178. length 0
  179. transport preferred all
  180. transport input all
  181. transport output all
  182. !
  183. scheduler max-task-time 5000
  184. end


 
 
 
si quelqu'un pouvais améliorer mes ACL sa serait sympas , de tels sorte que je puisse pinger vers le WAN , et interdire le WAN de pinguer mon routeur , je passe tous les tests de sécurité , grc,pc flank mise à part celui ci , sygate udp scan , si vous pouviez me régler çà sa serais sympas ;)  
http://scan.sygatetech.com/preudpscan.html
merci @+++


Message édité par seiyar le 06-06-2004 à 19:13:24
Reply

Marsh Posté le 06-06-2004 à 18:13:08    

:cry:

Reply

Marsh Posté le 07-06-2004 à 16:13:47    

:bounce:

Reply

Marsh Posté le 08-06-2004 à 12:50:52    

:bounce:

Reply

Marsh Posté le 09-06-2004 à 10:33:33    

:bounce:

Reply

Marsh Posté le 15-06-2004 à 00:15:18    

c'est bon les gars j'ai trouvé des ACL de tueur , voici ma nouvelle config de tueur qui passe tous les test de sécus ... :sol:  
 

Code :
  1. !
  2. ! Last configuration change at 10:46:56 CST Tue Jun 15 2004 by cisco
  3. ! NVRAM config last updated at 10:49:55 CST Tue Jun 15 2004 by cisco
  4. !
  5. version 12.3
  6. no service pad
  7. service timestamps debug datetime msec
  8. service timestamps log datetime msec
  9. no service password-encryption
  10. !
  11. hostname cisco
  12. !
  13. boot-start-marker
  14. boot-end-marker
  15. !
  16. no logging buffered
  17. enable secret 5 xxxxxxxxxxxxxxxxxxxxxxxxxxxx
  18. !
  19. username xxxxxxx password 0 xxxxxxxx
  20. username xxxxxx password 0 xxxxxxxxxx
  21. clock timezone CST 2
  22. no aaa new-model
  23. ip subnet-zero
  24. no ip domain lookup
  25. ip name-server 80.118.192.100
  26. ip name-server 80.118.196.36
  27. !
  28. no ip bootp server
  29. ip inspect name firewall cuseeme
  30. ip inspect name firewall ftp
  31. ip inspect name firewall h323
  32. ip inspect name firewall icmp
  33. ip inspect name firewall netshow
  34. ip inspect name firewall rcmd
  35. ip inspect name firewall realaudio
  36. ip inspect name firewall rtsp
  37. ip inspect name firewall streamworks
  38. ip inspect name firewall tcp
  39. ip inspect name firewall udp
  40. ip inspect name firewall sqlnet
  41. ip inspect name firewall vdolive
  42. ip inspect name firewall fragment maximum 256 timeout 1
  43. !
  44. !
  45. !
  46. interface Ethernet0
  47. ip address 10.0.0.138 255.0.0.0
  48. ip access-group 112 in
  49. no ip redirects
  50. no ip unreachables
  51. no ip proxy-arp
  52. ip nat inside
  53. ip tcp adjust-mss 1452
  54. no cdp enable
  55. hold-queue 100 out
  56. !
  57. interface ATM0
  58. no ip address
  59. atm vc-per-vp 64
  60. no atm ilmi-keepalive
  61. dsl operating-mode auto
  62. pvc 8/35
  63.   pppoe-client dial-pool-number 1
  64. !
  65. !
  66. interface Dialer1
  67. ip address negotiated
  68. ip access-group 2010 in
  69. no ip redirects
  70. no ip unreachables
  71. no ip proxy-arp
  72. ip mtu 1492
  73. ip nat outside
  74. ip inspect firewall out
  75. encapsulation ppp
  76. ip tcp adjust-mss 1452
  77. dialer pool 1
  78. dialer-group 1
  79. no cdp enable
  80. ppp authentication pap chap callin
  81. ppp chap hostname xxxxxxxx@xxxxxxxx
  82. ppp chap password 0 xxxxxxx
  83. ppp pap sent-username xxxxxxx@xxxxx password 0 xxxxxxx
  84. !
  85. ip nat translation timeout 3600
  86. ip nat translation tcp-timeout 3600
  87. ip nat translation udp-timeout 1200
  88. ip nat translation finrst-timeout 300
  89. ip nat translation syn-timeout 120
  90. ip nat translation dns-timeout 300
  91. ip nat translation icmp-timeout 120
  92. ip nat translation max-entries 4096
  93. ip nat inside source list 1 interface Dialer1 overload
  94. ip nat inside source list 102 interface Dialer1 overload
  95. ip nat inside source static udp 10.0.0.1 10001 interface Dialer1 10001
  96. ip nat inside source static tcp 10.0.0.1 5900 interface Dialer1 5900
  97. ip nat inside source static tcp 10.0.0.1 10003 interface Dialer1 10003
  98. ip nat inside source static tcp 10.0.0.1 10002 interface Dialer1 10002
  99. ip nat inside source static tcp 10.0.0.1 10000 interface Dialer1 10000
  100. ip nat inside source static tcp 10.0.0.1 25000 interface Dialer1 25000
  101. ip nat inside source static tcp 10.0.0.1 25001 interface Dialer1 25001
  102. ip nat inside source static tcp 10.0.0.1 25002 interface Dialer1 25002
  103. ip nat inside source static tcp 10.0.0.1 25003 interface Dialer1 25003
  104. ip classless
  105. ip route 0.0.0.0 0.0.0.0 Dialer1
  106. ip http server
  107. !
  108. access-list 102 permit ip 10.0.0.0 0.255.255.255 any
  109. access-list 112 deny   53 any any
  110. access-list 112 deny   55 any any
  111. access-list 112 deny   pim any any
  112. access-list 112 deny   tcp any any eq echo
  113. access-list 112 deny   tcp any any eq chargen
  114. access-list 112 deny   tcp any any eq 135
  115. access-list 112 deny   tcp any any eq 136
  116. access-list 112 deny   tcp any any eq 137
  117. access-list 112 deny   tcp any any eq 138
  118. access-list 112 deny   tcp any any eq 139
  119. access-list 112 deny   tcp any any eq 445
  120. access-list 112 deny   tcp any any eq 4444
  121. access-list 112 deny   udp any any eq tftp
  122. access-list 112 deny   udp any any eq 135
  123. access-list 112 deny   udp any any eq 136
  124. access-list 112 deny   udp any any eq netbios-ns
  125. access-list 112 deny   udp any any eq netbios-dgm
  126. access-list 112 deny   udp any any eq netbios-ss
  127. access-list 112 deny   udp any any eq snmp
  128. access-list 112 deny   udp any any eq 445
  129. access-list 112 permit ip any any
  130. access-list 2010 deny   ip 0.0.0.0 0.255.255.255 any
  131. access-list 2010 deny   ip 1.0.0.0 0.255.255.255 any
  132. access-list 2010 deny   ip 2.0.0.0 0.255.255.255 any
  133. access-list 2010 deny   ip 5.0.0.0 0.255.255.255 any
  134. access-list 2010 deny   ip 7.0.0.0 0.255.255.255 any
  135. access-list 2010 deny   ip 10.0.0.0 0.255.255.255 any
  136. access-list 2010 deny   ip 23.0.0.0 0.255.255.255 any
  137. access-list 2010 deny   ip 27.0.0.0 0.255.255.255 any
  138. access-list 2010 deny   ip 31.0.0.0 0.255.255.255 any
  139. access-list 2010 deny   ip 36.0.0.0 0.255.255.255 any
  140. access-list 2010 deny   ip 37.0.0.0 0.255.255.255 any
  141. access-list 2010 deny   ip 39.0.0.0 0.255.255.255 any
  142. access-list 2010 deny   ip 41.0.0.0 0.255.255.255 any
  143. access-list 2010 deny   ip 42.0.0.0 0.255.255.255 any
  144. access-list 2010 deny   ip 49.0.0.0 0.255.255.255 any
  145. access-list 2010 deny   ip 50.0.0.0 0.255.255.255 any
  146. access-list 2010 deny   ip 71.0.0.0 0.255.255.255 any
  147. access-list 2010 deny   ip 72.0.0.0 0.255.255.255 any
  148. access-list 2010 deny   ip 73.0.0.0 0.255.255.255 any
  149. access-list 2010 deny   ip 74.0.0.0 0.255.255.255 any
  150. access-list 2010 deny   ip 75.0.0.0 0.255.255.255 any
  151. access-list 2010 deny   ip 76.0.0.0 0.255.255.255 any
  152. access-list 2010 deny   ip 77.0.0.0 0.255.255.255 any
  153. access-list 2010 deny   ip 78.0.0.0 0.255.255.255 any
  154. access-list 2010 deny   ip 79.0.0.0 0.255.255.255 any
  155. access-list 2010 deny   ip 89.0.0.0 0.255.255.255 any
  156. access-list 2010 deny   ip 90.0.0.0 0.255.255.255 any
  157. access-list 2010 deny   ip 91.0.0.0 0.255.255.255 any
  158. access-list 2010 deny   ip 92.0.0.0 0.255.255.255 any
  159. access-list 2010 deny   ip 93.0.0.0 0.255.255.255 any
  160. access-list 2010 deny   ip 94.0.0.0 0.255.255.255 any
  161. access-list 2010 deny   ip 95.0.0.0 0.255.255.255 any
  162. access-list 2010 deny   ip 96.0.0.0 0.255.255.255 any
  163. access-list 2010 deny   ip 97.0.0.0 0.255.255.255 any
  164. access-list 2010 deny   ip 98.0.0.0 0.255.255.255 any
  165. access-list 2010 deny   ip 99.0.0.0 0.255.255.255 any
  166. access-list 2010 deny   ip 100.0.0.0 0.255.255.255 any
  167. access-list 2010 deny   ip 101.0.0.0 0.255.255.255 any
  168. access-list 2010 deny   ip 102.0.0.0 0.255.255.255 any
  169. access-list 2010 deny   ip 103.0.0.0 0.255.255.255 any
  170. access-list 2010 deny   ip 104.0.0.0 0.255.255.255 any
  171. access-list 2010 deny   ip 105.0.0.0 0.255.255.255 any
  172. access-list 2010 deny   ip 106.0.0.0 0.255.255.255 any
  173. access-list 2010 deny   ip 107.0.0.0 0.255.255.255 any
  174. access-list 2010 deny   ip 108.0.0.0 0.255.255.255 any
  175. access-list 2010 deny   ip 109.0.0.0 0.255.255.255 any
  176. access-list 2010 deny   ip 110.0.0.0 0.255.255.255 any
  177. access-list 2010 deny   ip 111.0.0.0 0.255.255.255 any
  178. access-list 2010 deny   ip 112.0.0.0 0.255.255.255 any
  179. access-list 2010 deny   ip 113.0.0.0 0.255.255.255 any
  180. access-list 2010 deny   ip 114.0.0.0 0.255.255.255 any
  181. access-list 2010 deny   ip 115.0.0.0 0.255.255.255 any
  182. access-list 2010 deny   ip 116.0.0.0 0.255.255.255 any
  183. access-list 2010 deny   ip 117.0.0.0 0.255.255.255 any
  184. access-list 2010 deny   ip 118.0.0.0 0.255.255.255 any
  185. access-list 2010 deny   ip 119.0.0.0 0.255.255.255 any
  186. access-list 2010 deny   ip 120.0.0.0 0.255.255.255 any
  187. access-list 2010 deny   ip 121.0.0.0 0.255.255.255 any
  188. access-list 2010 deny   ip 122.0.0.0 0.255.255.255 any
  189. access-list 2010 deny   ip 123.0.0.0 0.255.255.255 any
  190. access-list 2010 deny   ip 124.0.0.0 0.255.255.255 any
  191. access-list 2010 deny   ip 125.0.0.0 0.255.255.255 any
  192. access-list 2010 deny   ip 126.0.0.0 0.255.255.255 any
  193. access-list 2010 deny   ip 127.0.0.0 0.255.255.255 any
  194. access-list 2010 deny   ip 169.254.0.0 0.0.255.255 any
  195. access-list 2010 deny   ip 172.16.0.0 0.15.255.255 any
  196. access-list 2010 deny   ip 173.0.0.0 0.255.255.255 any
  197. access-list 2010 deny   ip 174.0.0.0 0.255.255.255 any
  198. access-list 2010 deny   ip 175.0.0.0 0.255.255.255 any
  199. access-list 2010 deny   ip 176.0.0.0 0.255.255.255 any
  200. access-list 2010 deny   ip 177.0.0.0 0.255.255.255 any
  201. access-list 2010 deny   ip 178.0.0.0 0.255.255.255 any
  202. access-list 2010 deny   ip 179.0.0.0 0.255.255.255 any
  203. access-list 2010 deny   ip 180.0.0.0 0.255.255.255 any
  204. access-list 2010 deny   ip 181.0.0.0 0.255.255.255 any
  205. access-list 2010 deny   ip 182.0.0.0 0.255.255.255 any
  206. access-list 2010 deny   ip 183.0.0.0 0.255.255.255 any
  207. access-list 2010 deny   ip 184.0.0.0 0.255.255.255 any
  208. access-list 2010 deny   ip 185.0.0.0 0.255.255.255 any
  209. access-list 2010 deny   ip 186.0.0.0 0.255.255.255 any
  210. access-list 2010 deny   ip 187.0.0.0 0.255.255.255 any
  211. access-list 2010 deny   ip 189.0.0.0 0.255.255.255 any
  212. access-list 2010 deny   ip 190.0.0.0 0.255.255.255 any
  213. access-list 2010 deny   ip 192.0.2.0 0.0.0.255 any
  214. access-list 2010 deny   ip 192.168.0.0 0.0.255.255 any
  215. access-list 2010 deny   ip 197.0.0.0 0.255.255.255 any
  216. access-list 2010 deny   ip 223.0.0.0 0.255.255.255 any
  217. access-list 2010 deny   ip 224.0.0.0 31.255.255.255 any
  218. access-list 2010 permit tcp any any eq 25001
  219. access-list 2010 permit tcp any any eq 25000
  220. access-list 2010 permit tcp any any eq 25002
  221. access-list 2010 permit tcp any any eq 25003
  222. access-list 2010 permit tcp any any eq 10000
  223. access-list 2010 permit udp any any eq 10001
  224. access-list 2010 permit tcp any any eq 10003
  225. access-list 2010 permit tcp any any eq 10002
  226. access-list 2010 permit tcp any any eq 5900
  227. dialer-list 1 protocol ip permit
  228. no cdp run
  229. !
  230. line con 0
  231. exec-timeout 0 0
  232. login local
  233. transport preferred all
  234. transport output all
  235. stopbits 1
  236. line vty 0 4
  237. exec-timeout 120 0
  238. password xxxxxxxxx
  239. login local
  240. length 0
  241. transport preferred all
  242. transport input all
  243. transport output all
  244. !
  245. scheduler max-task-time 5000
  246. sntp server 134.59.1.5
  247. end


 
 
voilà je me suis inspirer de ce site  
http://www.net130.com/2004/5-16/133627.html
 
merci les chinois  :jap:


Message édité par seiyar le 15-06-2004 à 11:52:04
Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed