Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
2180 connectés 

  FORUM HardWare.fr
  Linux et OS Alternatifs
  réseaux et sécurité

  Genre d'IPTable sur équipements CISCO

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Genre d'IPTable sur équipements CISCO

n°634021
SurfinKC
Posté le 10-02-2005 à 11:23:41  profilanswer
 

Bonjour, ma question va parraitre toute simple pour tous ceux qui manipulent des routeurs & switchs CISCO.
Quelqu'un peut-il me fournir quelques exemples de lignes de scripts d'IOS Cisco qui serviraient à faire du filtrage par adresse IP et par ports.
 
Exemples :
'tel adresse IP' est 'autorisée' à faire du 'HTTP' vers 'tel réseau'
ou encore
'tel plage d'adresse IP' n'est 'pas autorisée' à faire du 'Telnet' vers 'tel adresse IP'
 
Je cherche à faire un peu de filtrage sur un Switch Cisco Catalyst connecté à un Routeur Cisco qui gère des VLAN dessus.
 
J'espère que c'est assez clair  :pt1cable:  
 
Merci d'avance...

mood
Publicité
Posté le 10-02-2005 à 11:23:41  profilanswer
 

n°634026
mikala
Souviens toi du 5 Novembre...
Posté le 10-02-2005 à 11:31:44  profilanswer
 

tu as jetté un oeil sur la doc fourni par cisco  ?

n°634038
SurfinKC
Posté le 10-02-2005 à 11:40:53  profilanswer
 

Oui, j'ai en effet feuilleté les docs mais c'est fastidieux, peu clair et surtout très peu précis comme mes exemples  :) .
 
Je n'ai malheureusement pas assez de temps pour lire tout ça et pour faire des tests dans tous les sens.
 
C'est pour ça que je m'adresse à quelqu'un qui connait bien la chose et qui peut me 'brieffer' sans problème.

n°638109
ZeBib
4tus
Posté le 17-02-2005 à 18:05:34  profilanswer
 

Exemple ne sortir que par le port 2000 pour une seule machine (IP_src) vers la machine IP_dst:
 
dans le code général :

access-list 115 permit tcp IP_src IP_dst eq 2000
access-list 115 deny ip any any


 
dans le code de l'interface :

ip access-group 115 out


 
Après tu jongles avec les access-list pour faire ce que tu veux.


---------------
Kimi adore les chats noirs !
n°638123
SurfinKC
Posté le 17-02-2005 à 18:21:06  profilanswer
 

OK merci  :jap: , je vais essayer ça !
2-3 p'tites précisions :
- le 115 correspond à quoi exactement ?
- le eq aussi signifie quoi ?
- enfin même question pour le out ?
j'vais essayer quand-même, mais j'aimerais savoir ce que c'est pour pouvoir extrapoler tout ça et faire une bonne config.

n°638174
Zzozo
Modérateur
Un peu, passionément, à la fol
Posté le 17-02-2005 à 20:12:38  profilanswer
 

SurfinKC a écrit :

OK merci  :jap: , je vais essayer ça !
2-3 p'tites précisions :
- le 115 correspond à quoi exactement ?
- le eq aussi signifie quoi ?
- enfin même question pour le out ?
j'vais essayer quand-même, mais j'aimerais savoir ce que c'est pour pouvoir extrapoler tout ça et faire une bonne config.


Tu utilise quelle version d'IOS ?

n°638219
ZeBib
4tus
Posté le 17-02-2005 à 22:31:46  profilanswer
 

SurfinKC a écrit :

OK merci  :jap: , je vais essayer ça !
2-3 p'tites précisions :
- le 115 correspond à quoi exactement ?
- le eq aussi signifie quoi ?
- enfin même question pour le out ?
j'vais essayer quand-même, mais j'aimerais savoir ce que c'est pour pouvoir extrapoler tout ça et faire une bonne config.


 
 
115 -> il te faut un id pour l'access list, regarde la doc Cisco, il faut un id dans un certain range pour les ACL IP.
 
Le eq sert à filtrer sur le port TCP
 
Le out, pour dire que l'ACL s'applique en sortie de l'interface.
 
 
look : http://www.cisco.com/en/US/tech/tk [...] fc76.shtml


Message édité par ZeBib le 17-02-2005 à 22:33:52
n°638340
SurfinKC
Posté le 18-02-2005 à 09:59:02  profilanswer
 

Zzozo a écrit :

Tu utilise quelle version d'IOS ?


 
Mon routeur est en 12.3.

n°638344
SurfinKC
Posté le 18-02-2005 à 10:03:19  profilanswer
 

[citation=638219,0,7][nom]ZeBib a écrit[/nom]115 -> Le eq sert à filtrer sur le port TCP
 
Merci pour les infos, mais ce qui m'échappe c'est que dans la ligne :
 
access-list 115 permit tcp IP_src IP_dst eq 2000
 
tu dis déjà que c'est du TCP que tu filtres, pourquoi le repréciser avec eq ? :heink:

n°638423
SurfinKC
Posté le 18-02-2005 à 11:34:16  profilanswer
 

Mes premiers tests sont très concluants :wahoo: , en effet, ça à l'air de bien fonctionner tout ça.
 :bounce:  Encore une petite question :
 
Si je mets plusieurs lignes de filtrage dans le/a même access-list, comment supprimer une des lignes ?
Bêtement moi, je tappe un no access-list blablabla, mais ça me supprime toutes les lignes de cet/tte access-list ! :pt1cable:

mood
Publicité
Posté le 18-02-2005 à 11:34:16  profilanswer
 

n°638437
AirbaT
Connection timed out
Posté le 18-02-2005 à 11:52:42  profilanswer
 

SurfinKC a écrit :

Mes premiers tests sont très concluants :wahoo: , en effet, ça à l'air de bien fonctionner tout ça.
 :bounce:  Encore une petite question :
 
Si je mets plusieurs lignes de filtrage dans le/a même access-list, comment supprimer une des lignes ?
Bêtement moi, je tappe un no access-list blablabla, mais ça me supprime toutes les lignes de cet/tte access-list ! :pt1cable:


Sauf erreur de ma part, tu peux pas. Faut pas faire d'erreur, sinon tu repars de 0.
D'où l'utilité de tout mettre dans un fichier que tu balances dans l'hyper terminal, ca évite les fautes de frappe à la 82ème règle.

n°638441
SurfinKC
Posté le 18-02-2005 à 11:58:10  profilanswer
 

AirbaT a écrit :

Sauf erreur de ma part, tu peux pas. Faut pas faire d'erreur, sinon tu repars de 0.
D'où l'utilité de tout mettre dans un fichier que tu balances dans l'hyper terminal, ca évite les fautes de frappe à la 82ème règle.

:ouch: Whaaaa, mais c'est trop pourri dans ce cas là !
Q'est-ce qu'ils font les gars de CISCO ???
 
Bon, je me calme et je prends sur moi.
 
Donc, on va dire que c'est pas fait pour être très évolutif. OK, c'est noté, merci !  :jap:

n°638522
l0ky
Posté le 18-02-2005 à 13:08:54  profilanswer
 

tu peux également écrire tes access-list sur une autre machine, les mettre sur un serveur TFTP ou FTP. Sur le cisco tu peux ensuite les récupérer.

n°638574
SurfinKC
Posté le 18-02-2005 à 15:01:29  profilanswer
 

Autrement, moi je suis dans le restrictif :non: donc si je veux traduire :
Rien ne passe sauf un PC (1.2.3.4) vers un réseau (ex:192.168.0.0/24) et un réseau (ex:191.221.10.0/24) vers any en telnet, ca donne ça :

Code :
  1. access-list 115 permit ip host 1.2.3.4 192.168.0.0 0.0.0.255
  2. access-list 115 permit ip 191.221.10.0 0.0.0.255 any eq telnet
  3. access-list 115 deny ip any any


C'est ça ? ou j'y suis pas du tout ?  :)

n°638730
Zzozo
Modérateur
Un peu, passionément, à la fol
Posté le 18-02-2005 à 18:55:54  profilanswer
 

SurfinKC a écrit :

Mon routeur est en 12.3.


Bon bah, tu vas aller lire la doc par là alors :
http://www.cisco.com/en/US/product [...] l#wp999526
http://www.cisco.com/en/US/product [...] ca7c0.html
 
Bonne lecture, bon courage et amuses toi bien ... :o

n°638752
SurfinKC
Posté le 18-02-2005 à 19:24:08  profilanswer
 

Zzozo a écrit :

Bon bah, tu vas aller lire la doc par là alors :
http://www.cisco.com/en/US/product [...] l#wp999526
http://www.cisco.com/en/US/product [...] ca7c0.html
 
Bonne lecture, bon courage et amuses toi bien ... :o


Désolé, mais je crois que t'as mal lu mes 2 premiers messages :lol:. T'as vu les docs :ouch:
Si je demande de l'aide sur ce forum, c'est pour allez droit au but, cependant, merci beaucoups pour tes recherches, je vais essayer de jeter un coup d'oeil  :sarcastic:

n°638762
Zzozo
Modérateur
Un peu, passionément, à la fol
Posté le 18-02-2005 à 19:38:39  profilanswer
 

SurfinKC a écrit :

Désolé, mais je crois que t'as mal lu mes 2 premiers messages :lol:. T'as vu les docs :ouch:
Si je demande de l'aide sur ce forum, c'est pour allez droit au but, cependant, merci beaucoups pour tes recherches, je vais essayer de jeter un coup d'oeil  :sarcastic:


Attends, c'est du Cisco mon bonhomme ... :o
Fais toi payer une formation si tu te sens pas à la hauteur [:spamafote]
 
 
Juste pour ton info, j'ai jamais eu besoin de rien d'autre que les docs de Cisco pour  
"dompter" leurs bestioles ...  ça demande du travail et un peu d'abnégation  [:spamafote]
 
Et pis franchement, les ACL chez Cisco, c'est pas bien dur à comprendre   :sarcastic:  
 
Allez, mets toi au boulot et tu verras que ça ira tout seul ... :)


Message édité par Zzozo le 18-02-2005 à 20:08:56
n°638782
SurfinKC
Posté le 18-02-2005 à 20:11:53  profilanswer
 

Zzozo a écrit :

Juste pour ton info, j'ai jamais eu besoin de rien d'autre que les docs de Cisco pour  
"dompter" leurs bestioles ...  ça demande du travail et un peu d'abnégation  [:spamafote]


C'est bien ce que je dis, j'demande juste un coup de pouce, pas qu'on me renvoie sur les docs (j'ai vraiment pas le temps, j'aimerais vraiment mais je l'ai pas). On tourne en rond là. lol

n°638806
Zzozo
Modérateur
Un peu, passionément, à la fol
Posté le 18-02-2005 à 21:04:49  profilanswer
 

SurfinKC a écrit :

C'est bien ce que je dis, j'demande juste un coup de pouce, pas qu'on me renvoie sur les docs (j'ai vraiment pas le temps, j'aimerais vraiment mais je l'ai pas). On tourne en rond là. lol


Tu voudrais "sécuriser"  mais en "coup de vent" ...  en gros, si je lis entre les lignes ... heu ... c'est un peu paradoxal là ...  
Enfin bon ... [:spamafote]
Si tu avais pris la peine de lire les qq pages que je t'ai indiqué (surtout que en plus je suis vraiment allez chercher celles qui sont en rapport direct avec ton besoin imédiat), tu aurais eu la réponse à tes questions de base sur les ACL sous IOS ... et tu aurais gagné bcp de temps ... tant pis ... [:spamafote]
 
Bon courage ...


Message édité par Zzozo le 19-02-2005 à 00:14:24
n°638882
ZeBib
4tus
Posté le 18-02-2005 à 23:51:13  profilanswer
 

SurfinKC a écrit :


 
tu dis déjà que c'est du TCP que tu filtres, pourquoi le repréciser avec eq ? :heink:


 
 
Beh tout simplement pour induquer quel port   [:paysan]  [:paysan]  
 
Tu devrais vraiment lire un peu des docs car là tu semble faire qqc sans comprendre et c'est assez dangeureux mine de rien.
Enfin ça dépend ou va ton routeur.

n°639721
SurfinKC
Posté le 21-02-2005 à 14:58:53  profilanswer
 

Zebib a écrit :

115 -> Le eq sert à filtrer sur le port TCP


En fait j'avais pas compris cette phrase qui avoue-le Zebib n'est pas très claire, mais là c'est bon, je vois.
 
Par contre, et après avoir survolé les docs (sinon j'V me faire engueulé par tout le monde) on ne peut pas spécifier de plage d'adresses ? Genre : de 191.221.10.5 à 191.221.10.55 ?

n°639848
ZeBib
4tus
Posté le 21-02-2005 à 18:46:00  profilanswer
 

Je ne sais plus. Je n'ai pas de routeur Cisco sous la main en ce moment.
 
Par contre j'ai des Huawei ou plutôt des 3Com  :o 5012, 5232, 5642 et 6040 qui utilisent des CLI très proches (voir identiques  :whistle: ) à celles de Cisco donc si je trouve la commande je te dirais ;)

n°640810
l0ky
Posté le 23-02-2005 à 13:56:13  profilanswer
 

SurfinKC a écrit :

En fait j'avais pas compris cette phrase qui avoue-le Zebib n'est pas très claire, mais là c'est bon, je vois.
 
Par contre, et après avoir survolé les docs (sinon j'V me faire engueulé par tout le monde) on ne peut pas spécifier de plage d'adresses ? Genre : de 191.221.10.5 à 191.221.10.55 ?


 

access-list acl_in deny ip 192.168.1.0 255.255.255.240 any


pour la plage d'adresse 192.168.1.0/28 par exemple

n°640820
SurfinKC
Posté le 23-02-2005 à 14:26:56  profilanswer
 

l0ky a écrit :

access-list acl_in deny ip 192.168.1.0 255.255.255.240 any


pour la plage d'adresse 192.168.1.0/28 par exemple


 
Merci :jap: , je vais essayer, mais je vois pas trop comment reporter cette ligne pour mon exemple (de 191.221.10.5 à 191.221.10.55), tu vois ?

n°641032
ZeBib
4tus
Posté le 24-02-2005 à 00:33:32  profilanswer
 

tu n'as jamais travaillé sur les masques de réseaux ??

n°641686
SurfinKC
Posté le 25-02-2005 à 14:52:09  profilanswer
 

ZeBib a écrit :

tu n'as jamais travaillé sur les masques de réseaux ??


Si mais l'exemple de l0ky c'est pour tout un réseau (de 192.168.1.1 à 192.168.1.15 si je me trompe pas).
Je suis plus intéressé par une plage d'adresse comme par exemple
de 191.221.10.5 à 191.221.10.55 sur un réseau 191.221.10.0 (en Classe C)

mood
Publicité
Posté le   profilanswer
 


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Linux et OS Alternatifs
  réseaux et sécurité

  Genre d'IPTable sur équipements CISCO

 

Sujets relatifs
[CISCO 3640] Configuration du routage (résolu)Analyser de log iptable
[gentoo] problème script iptable (open)pourquoi ma config iptable ne reste pas ?
Installation client VPN cisco sur MAndrake 10.0 officialrouteur CISCO RNIS
[IPTABLE] Installation[iptable] help for nb
[help nb] iptable avec speedtouch usbCisco a breveté le protocole TCP
Plus de sujets relatifs à : Genre d'IPTable sur équipements CISCO


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR