Hi All ,
 
Je recherche des ACL pour sécurisés  mon routeur , en bloquant tout , et en autorisant que les truc de bases , telnet ,dns, pop , smtp et ftp .
 
merci des régles antispoofing et macspoofing m'intéresse aussi , car mon c827 ne passe pas les test grs hallucinant pour un matos de haute gamme .
 
et merci de m'indiquer la procédure pour créer  et appliquer des ACL en français svp ( je ne veux pas de liens vers des sites cisco qui sont pas claires et puis débrouille toi   )
Merci d'avance  
 
 
pour info je n'ai qu'un pc connecté au routeur  
IP :10.0.0.1
Mask:255.0.0.0
Gateway 10.0.0.138
 

tu postes aussi sur www.ixus.net ?.

ACL IP :
 
Elles permettent de filtrer le trafic. Elles peuvent être nommées et doivent être appliquées au plus près du trafic concerné.
 
Numéro attribution ACL
On affecte aux ACLs un numéro :
 
Protocole Plage
IP         1-99
IP étendu 100-199
Appletalk 600-699
IPX         800-899
IPX étendu 900-999
Protocole IPX Service Advertising 1000-1099
 
ACL standard Vs ACL étendues
Les ACLs standards permettent d’interdire ou d’autoriser un host ou un réseau sans distinction du protocole de couche 4 et/ou du port utilisé.
Les ACLs étendues permettent de filtrer de manière plus précise en vérifiant les adresses d’origine, de destination, le protocole utilisé (TCP, UDP ou ICMP), ainsi que le numéro de port utilisé (TCP 80, TCP 21, TCP25, UDP 53…). Ce type d’ACL implique un plus grand temps de latence, et une syntaxe plus complexe.
 
 
Assignation d’une ACL standard ou étendue  à une interface :
Syntaxe :
Router(config-if)# {protocole} access-group {N° liste d’accès} {in|out}
 
Exemple :
Router(config-if)# ip access-group 1 in
Router(config-if)# ip access-group 101 out
 
Remarque:
Out est la valeur par défaut.
 
ACL standard
Définition d’une liste ACL :
 
Syntaxe :
Router(config)# access-list {N° liste d’accès} {permit|deny} {condition}
 
Exemple :
Router(config)# access-list 1 permit 10.10.0.0   0.0.255.255    
Autorise le trafic en provenance du réseau 10.10.0.0/16
Router(config)# access-list 2 deny 10.20.0.0   0.0.255.255    
Interdit le trafic en provenance du réseau 10.20.0.0/16
 
 
Commandes Spécifiques:
Any
 
Sert à indiquer n’importe quelle adresse.
Equivaut à « 0.0.0.0    255.255.255.255 »
 
 
Exemple :
Router(config)# access-list 1 permit 0.0.0.0   255.255.255.255    
 
Equivaut à :
Router(config)# access-list 1 permit any
 
Host
 
Sert à indiquer une ip spécifique.
Equivaut à « x.y.w.z    0.0.0.0 »
 
 
Exemple :
Router(config)# access-list 1 permit x.y.w.z    0.0.0.0
 
Equivaut à :
Router(config)# access-list 1 permit host x.y.w.z
 
 
ACL Etendue:
 
Définition de d’une liste ACL étendue :
 
Syntaxe :
Router(config)# access-list {N° liste d’accès} {permit|deny} [protocole] source [source_mask] [operateur operant] destination [destination_mask] [operateur operant] established
 
Paramètre Description
N° liste d’accès          100-199
Permit|Deny                  Autorise ou bloque
Protocole                  IP, TCP, UDP ou ICMP
Source et Destination          @IP source / @IP destination
Mask source et Mask destination  Complément à 1 du masque souhaité
Operateur operant          If, gt, lt, eq, neq suvi d’un N° de port
Established                  Permet au trafic de passer, si celui-ci utilise une connexion établie (ACK)
 
 
Exemple :
Router(config)# access-list 101 deny tcp 10.10.0.0   0.0.255.255  any eq 21
Bloque le trafic ftp en provenance du réseau 10.10.0.0/16 vers toute destination.
Router(config)# access-list 101 permit ip 10.10.0.0   0.0.255.255  any
Autorise le reste du trafic en provenance de ce même réseau.
 
Remarque :
L’instruction deny any any est implicite.
 
 
 
Vérification d’ACL :
 
Show ip interface :
• Fournit les informations relatives à l’interface
• Affiche si des ACL sont configurés sur ces interfaces
 
Show access-list
• Affiche le contenu de toutes les listes de contrôle d’accès.
 
 
 
 
Hope it will help

Merci Tiramissu75  
 
@vrobaina
 
Ouais pq ??  
 
 
---
 
sinon je me suis fait ma petite config sécurisée qui passe tous les tests de sécurités PC flank , grc an co.
 

 
 
vous en pensez quoi les gars ???    
 

Pas mal mais j'aurai rajouter sur l'ACL 111 des deny sur les adresses IP lan.
 

Voice les 2 ACL que j'ai sur le mien :
 
 
access-list 102 remark flux sortant
access-list 102 deny   udp any any eq netbios-ns
access-list 102 deny   udp any any eq netbios-dgm
access-list 102 deny   udp any any eq netbios-ss
access-list 102 deny   tcp any any eq 135
access-list 102 deny   udp any any eq 135
access-list 102 deny   tcp any any eq 139
access-list 102 permit ip 10.10.10.0 0.0.0.255 any
access-list 102 deny   ip any any
 
 
access-list 111 remark Flux Entrant
access-list 111 deny   ip 10.0.0.0 0.255.255.255 any
access-list 111 deny   ip 127.0.0.0 0.255.255.255 any
access-list 111 deny   ip host 0.0.0.0 any
access-list 111 deny   ip any host 255.255.255.255
access-list 111 deny   ip host 255.255.255.255 any
access-list 111 permit icmp any any unreachable
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any source-quench
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any ttl-exceeded
access-list 111 deny   icmp any any
access-list 111 permit udp any eq isakmp any eq isakmp
access-list 111 permit gre any any
access-list 111 permit tcp any any eq 1723
access-list 111 permit tcp any any eq 1731
access-list 111 deny   ip any any

 
 
sa correspond à quoi ces régles ???
 
1723 c'est pour MSN et Net Meeting mais 1731 ???
 
 
PS : les ports 9999-1000 c pour la mule et 10002-10003 pour bitto

Ces 3 lignes sont optionelles :
 
port 1723 : c'est pour faire du pppt
port 1731 : VPN Ipsec.
 
La 3ieme : de tete (je ne connais par coeur les RFC consernant les trames ICMP...) c'est une trame icmp qui contient un code retour/erreur.

oki merci  

 
Chez moi le 9999 c'est pour VNC, le 10000 c'est WebMin.
Qt aux softs de p2p, je n'utilise aucun ports par defaut.

Par contre as-tu un IOS contenant les fonctions de Firewall ?. Car dans ta confgi, je ne vois aucunes lignes du genre :
 
ip inspect name myfw udp timeout 15
ip inspect name myfw tcp timeout 3600
...

ouais j'ai le dernier IOS le 12.3    
j'ai pas fait un copier coller de tout voila pq
 

 
   
 
 
h323  c pour MSN (sa marche nickel pour les transferts de fichiers ,les conférences audio et video)je me suis gouré taleur avec le port 1723

 
idem

Je vois qu'on a le meme IOS et pratiquement le meme parametrage.
 

 
 
yes mais pas la même maitrise du routeur ,  moi je suis un newb avec Cisco , j'avais fais une formation Admin Réseaux (W2k Server-Unix Linux ,Cisco) , j'ai pratiquement oubliés pas mal de truc par manque de pratique   , bah ouais les entreprises ne laissent pas les débutants faire leur preuves    
 

J'ai un cisco c827 avec le dernier IOS c820-oy6-mz.123-8.T.bin , ios 12.3(8)T
 
voici mon sh run
 

 
 
 
si quelqu'un pouvais améliorer mes ACL sa serait sympas , de tels sorte que je puisse pinger vers le WAN , et interdire le WAN de pinguer mon routeur , je passe tous les tests de sécurité , grc,pc flank mise à part celui ci , sygate udp scan , si vous pouviez me régler çà sa serais sympas  
http://scan.sygatetech.com/preudpscan.html
merci @+++

c'est bon les gars j'ai trouvé des ACL de tueur , voici ma nouvelle config de tueur qui passe tous les test de sécus ...  
 

 
 
voilà je me suis inspirer de ce site  
http://www.net130.com/2004/5-16/133627.html
 
merci les chinois