Hausser.ch

CiScO

mardi 17 mai 2005

- back to DiaryDHAMissionMay2005
- back to LesothoProject

17 mai

A file more fonctionnal for configuration which allow access control in and out but also allow the use by the people in of certain protocols.

TCP / UDP port numbers

— >> Le mail de bluewin ::->

Cher Monsieur,

Je passe par ce provider car le firewall étant remonté rien ne sort sauf http via le port 3128

Je viens de terminer la lecture de votre message qui va permettre de corriger les quelques erreurs que vous avez détectées.

Cependant cela ne résoud pas mon problème.

Car si il n’y a aucune sécurtité pour les accès sortant, comment se fait
- il que je et les autres non plus ne puisse rien faire d’autre que du http.

Lorsque le firewall est coupé je suis connecté directement sur le routeur sans passer par le proxy et tout fonctionne (SSL, FTP, POP3, IKE over TCP).

est-ce à dire que c’est la configuration du proxy qui bloquerait tous les accès sortants ? ou bien un autre paramétrage du proxy pourrait permettre d’autoriser les échanges sécurisés ou non qui nécessite un dialogue comme ceux mentionné ci-dessus.

Merci de votre réponse sur le WIKI (spikini) car je ne sais pas si je pourrai avoir accès à ma messagerie avant lundi.

En tous les cas bon we.

— > Réponse :

Bonjour,

Effectivement il n’y a pas de sécurité appliqué sur les circuits sortants mais le filtre est appliqué sur les circuits entrants (réponse).
Ceci est écrit dans l’access-list avec la commande :
access-list 100 permit tcp any eq www 196.25.228.40 0.0.0.7 gt 1023 log
qui autorise les circuits en provenance d’un serveur web (port 80) à entrer.

pour le protocole SSL par exemple il faut donc ajouter l’autorisation pour la réponse d’un serveur SSL (port 443)
access-list 100 permit tcp any eq 443 196.25.228.40 0.0.0.7 gt 1023 log

pour le protocole FTP il faut autoriser le port 21 et ainsi de suite ...

16 mai

7h35 Apparement les consultants responsables enseingnants à NUL ont pris en considération les remarques et ont paramétré correctement le routeur et le firewall étant enfin en possibilité d’utiliser les autres protocoles que http sauf si le firewall est débranché, mais je ne le pense pas. Attends l’arrivée du technicien pour obtenir une copie de la config.

13 mai

10h00 le fichier de config a été envoyé par MEL

7h00 :
Merci dès que le technicien est là je lui demande d’éxecuter la procédure

Effectivement c’est hyper simple comme produit on édite et on tape.

12 mai

Comme la messagerie est pour l’instant très aléatoire ;-) Mon tél bureau +266 22 311 629 mon mobile +266 63 133 974 SMS ou appel avec le risque de la coupure liée au fait que c’est une carte à prépaiement...

ISDN CISCO 1660 & CISCO IOS Firewall.

La question est de configurer proprement le firewall pour permettre à ceux de l’intérieur de pouvoir utiliser toutes les fonctionnalité disponible sur le net.

Actuellement la sécurité est réglée en fermant tout sauf le port 3128 pour http.

Ce qui fait que même les collaborateurs du ministère n’accède pas à leur mail.

J’ai essayé de lire le manuel de CISCO 1600 et je n’ai rien trouvé ni retenu, j’ai déjà oublié ISDN avec ADSL.
Je crois cependant que la partie ISDN est OK, car on coupe le firewall tout marche.

Dans le manuel de CISCO IOS Firewall http://www.cisco.com/en/US/products..., il me semble que la partie 3 répond à cette question, mais je n’ai pas vraiment eu le temps nécessaire pour fouiller quels étaient les quelques commandes utilisables pour bloquer les entrées autoriser les sorties et y compris les entrées pour les réponses aux transactions en particulier pour POP3, SSL, IKE, FTP, IMAP4, les ports requis pour valider les password sur hotmail, yahoo, gmail... et peut être quelques autres importantes comme les port pour le Instant messaging ce qui pourrait aussi nous faciliter le boulot de communication.

Voilà en très bref mes questions et problèmes.

Pascal EMONET >>

Bonjour, Je ne suis pas trop au clair avec le produit donc j’essaye en modifiant simplement la page mise à disposition.

Avez-vous la possibilité de me faire parvenir la configuration de votre routeur, car il est difficile de fournir les commandes comme cela.

Pour mémoire voici la procédure à suivre :

connexion avec le câble console ou telnet sur l’équipement

enable

terminal length 0 pour éliminer les sauts de ligne

show running-config affiche la configuration à copier

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
Voici ma réponse, il faut faire edit pour voir le text de manière correct.

Bonjour,

J’ai choisi de vous expliquer la configuration pour vous permettre de faire vous-même les modifications en connaissance de cause.

Voici l’explication de la configuration :

10.0.1.0/26 (Réseau machine interne)


|196.25.228.42 Patte sur le second router
|
|
|196.25.228.41 Patte interne avec adresse public
/ Router dont je dispose de la configuration
/
|172.16.1.54 connexion avec le FIA
|
|196.25.228.44 Adresse utilisée pour la sortie sur internet

Nous avons un routage statique de la plage
10.0.1.0 sur le réseau interne
une default route sur l’interface de sortie

Je suppose que l’access-list est appliquée en entrée sur l’interface S0 ?
ip access-group 100 in

- > Le sécurité est régis par une access-list servant à filtrer les accès entrant, aucune sécurité pour les accès sortants.

Les points important sont :

Les machines 196.25.1.77 & 196.24.0.69 sont des machines de confiance.
Interdiction de l’entree des plages : 0/8,10/8,172.16/16,192.168/16,196.25.228.40 ainsi que le multicast
Interdit le requête ICMP echo,redirect et mask-request
Autorise les réponses sur les ports > 1023 pour les services : DNS/TCP,DNS/UDP,WEB,SMTP,NS/TCP,NS/UDP
La machine 196.25.228.42 à les fonctions suivantes :
Routeur pour la plage 10.0.1.0
Mail serveur 25
DNS port 53 TCP/UDP
NameServer port 42 TCP/UDP
La machine 196.25.228.45 est le serveur WEB port 80

- > Je dispose maintenant d’une bonne compréhension de la configuration, il me manque donc ce que vous voulez-faire, pour vous aider
à faire les modifications ... si besoin !

Voici la traduction des lignes

access-list 10 permit 10.0.1.0 0.0.0.63
- > Place d’adresse qui doit être NATée

access-list 100 permit ip host 196.24.1.77 any
- > La machine 196.24.1.77 est une machine de confiance
access-list 100 permit ip host 196.24.0.69 any
- > La machine 196.24.0.69 est une machine de confiance
access-list 100 deny ip 196.24.228.40 0.0.0.7 any log
- > Je suppose que la ligne est pour protégée la plage publique contre une usurpation mais il y a une faute 25 et non 24 !.
- > Ou classe de machine interdite
access-list 100 deny ip host 172.16.1.54 host 172.16.1.54 log
- > protège l’adresse 172.16.1.54 contre une usurpation (interface S0 du router)
access-list 100 deny ip 127.0.0.0 0.255.255.255 any log
- > Interdit l’entree des adresses "localhost"
access-list 100 deny ip 0.0.0.0 0.255.255.255 any log
- > Interdit l’entree de la classe 0
access-list 100 deny ip 10.0.0.0 0.255.255.255 any log
- > Interdit l’entree de la classe privée A 10
access-list 100 deny ip 172.16.0.0 0.15.255.255 any log
- > Interdit l’entree de la classe privée B 172.16
access-list 100 deny ip 192.168.0.0 0.0.255.255 any log
- > Interdit l’entree de la classe privée C 192.168
access-list 100 deny ip 224.0.0.0 15.255.255.255 any log
- > Interdit l’entree de la classe multicast
access-list 100 deny ip any host 196.25.228.47 log
- > Interdit l’entree de la partie "broadcast" de sa classe publique
access-list 100 deny ip any host 196.25.228.40 log
- > Interdit l’entree de l’adresse "réseau" de sa classe publique
access-list 100 permit tcp any 192.25.228.40 0.0.0.7 established log
- > Autorise les circuits TCP/IP déjà établis à continuer devrait être placé en première position car la plus utilisé
access-list 100 permit tcp any host 192.25.228.42 established log
- > Déjà définis de manière plus large dans le ligne précédante ( supprimer )
access-list 100 deny icmp any any echo log
- > stop ICMP echo
access-list 100 deny icmp any any redirect log
- > stop ICMP redirect
access-list 100 deny icmp any any mask-request log
- > stop ICMP masj-request
access-list 100 permit icmp any 196.25.228.40 0.0.0.7 log
- > autorise l’execution des autres commandes ICMP sur la plage publique
access-list 100 permit udp any eq domain host 196.25.228.42 gt 1023 log
- > autorise les réponses pour le service DOMAIN(53) depuis la machine 196.25.228.42 (DNS en UDP)
access-list 100 permit tcp any eq domain host 196.25.228.42 gt 1023 log
- > autorise les réponses pour le service DOMAIN(53) depuis la machine 196.25.228.42 (DNS en TCP)
access-list 100 permit tcp any eq www host 196.25.228.42 gt 1023 log
- > Autorise les réponses lors de la nagition sur un serveur WEB(port 80) depuis la machine 196.25.228.42
access-list 100 permit tcp any eq www 196.25.228.40 0.0.0.7 gt 1023 log
- > Idem que la ligne précédante mais plus générale pour les machines de la plage 196.25.228.40/29
access-list 100 permit tcp any eq smtp host 196.25.228.42 gt 1023 log
- > Autorise les réponses pour la service SMTP (port 25) pour la machine 196.25.228.42
access-list 100 permit udp any eq nameserver host 196.25.228.42 gt 1023 log
- > Autorise les réponses pour le service nameserver (port 42) destination de 196.25.228.42 en UDP
access-list 100 permit tcp any eq 42 host 196.25.228.42 gt 1023 log
- > Autorise les réponses pour le service nameserver (port 42) destination de 196.25.228.42 en TCP
access-list 100 permit tcp any host 196.25.228.42 eq smtp log
- > Autorise la réception de mail (port 25) sur la machine 196.25.228.42
access-list 100 permit udp any host 196.25.228.42 eq domain log
- > Autorise la consultation du DNS/UDP sur la machine 196.24.228.42
access-list 100 permit tcp any host 196.25.228.42 eq domain log
- > Autorise la consultation du DNS/TCP sur la machine 196.24.228.42
access-list 100 permit tcp any host 196.25.228.42 eq 42 log
- > Autorise la consultation du nameserver/TCP sur la machine 196.25.228.42
access-list 100 permit udp any host 196.25.228.42 eq nameserver log
- > Autorise la consultation du nameserver/TCP sur la machine 196.25.228.42
access-list 100 permit tcp any host 196.25.228.45 eq www log
- > Autorise la consultation du site WEB sur la machine 196.25.228.45 (j’ai essayé, ça marche)
access-list 100 deny ip any any log
- > Interdit le reste

- back to DiaryDHAMissionMay2005
- back to LesothoProject


Accueil | Contact | Plan du site | | Statistiques du site | Visiteurs : 1617 / 145501

Suivre la vie du site fr  Suivre la vie du site Import Spikini   ?    |    titre sites syndiques OPML   ?

Site réalisé avec SPIP 3.1.0 + AHUNTSIC

Creative Commons License