جزاك الله خيرا
اخواني الاعضاء الكرام ،،
السلام عليكم و رحمة الله و بركاته .
فبعد ما قمت بتأمين راوتر في العمل مواجه للانترنت باستخدام SDM و اختيار عمل Firewall له ، اردت السماح لل ping بالوصول للراوتر و ذلك من أجل تسهيل عملية ال Troubleshooting في حال حدوث أي مشكلة .
ملاحظة : كل أنماط ال Firewall باستخدام ال SDM سواء كانت High , Medium or Low بتقوم By Default بمنع أي اتصال من أي نوع في الاتجاه من الخارج ( العالم الخارجي بالنسبة للراوتر ) الى الراوتر نفسه أو الى اداخل ( ال LAN الخاصة بشبكتك ) و تقوم بعمل inspect لل Data الخارجة من الراوتر نفسه و من الداخل الى الخارج و ذلك من أجل السماح لهذه ال data فقط بان تتلقى أي رد من الخارج ( هذه فقط الحالة التي يسمح ل data العالم الخارجي بالوصول للداخل )
دلوقتي و أنت ماشي في ال wizard بتاع FW في ال SDM بتحدد ال interface المواجه للعالم الداخلي و الخارجي و فيه Check Box تحتها بتختاره للسماح بالاتصال الامن للراوتر من العالم الخارجي ( بمعنى استخدام SSH & HTTPS ) للوصول للراوتر ، و في الشاشة اللي بعدها بتحدد ما هي العنواين المسموح لها بهذا الاتصال ( من رأيي انك تختارها any , أي كل العناوين ، و تضع username و password قوية )
الطريقة اللي هكتبها هي الاوامر اللي تسمح للعناوين ده فقط بانها تعمل ping على الراوتر ، و الحمد لله قمت باستنتاجها من تفحص الاوامر اللي بيقوم SDM بارسالها للراوتر بعد عمل ال FW .
ممكن الوصول لنفس النتيجة باستخدام ال SDM و التعديل به لكن بالنسبة لي احيانا كانت بتعمل لي شوية قلق ، مرة تشتغل و مرة ما تشتغلش فاستنتجت الاوامر ده و كتبتها عشان الجميع يستفيد و عشان لو حد احتاج انه يستخدمها بعد كده .
اللي فات ده كله كان تمهيد للاوامر و اتمنى ان ما حدش يكون تاه مني :D .
اسيبكم مع الاوامر :
ملاحظة هامة : هذه الاوامر تكتب باستخدام CLI بعد ما يقوم ال SDM بارسال اوامر ال FW الى الراوتر .
ip access-list extended SDM_PING
remark SDM_ACL Category=1
permit tcp any any eq 7
permit icmp any any
exit
class-map type inspect match-any SDM_PING
match access-group name SDM_PING
exit
class-map type inspect match-any sdm-cls-access
match class-map SDM_PING
match protocol icmp
match protocol tcp
match protocol udp
exit
اتمنى من اللي استخدم الاوامر و افادته في حياته أو حتى ما استخدمهاش و ما فادتهوش أن لا ينسى الدعاء لي .
اخوكم / ماجد
لا اله الا انت سبحانك اني كنت من الظالمين
https://www.quranflash.com/
https://www.ualberta.ca/%7Eesa106/images/egypt-flag.jpg
جزاك الله خيرا
مشكور اخي
يا اختراعاتك يا عم ماجد
فينك يا راجل من the man :D
يارب تكون بصحة جيدة
وما تحرمناش من مشاركاتك الرائعة
وجزاك الله كل خير
الف شكر ياباشا مشاركة جامدة بس والله انا لو منك كنت استخدمت CLI على طول بدل من SDM لان بجد بتخنق منه :D
كان عندك حلين يا اما استخدمت CBAC وعملت inspection rule على internal interface و Deny ACL على outside interface وممكن تسمح من خلالها ب icmp
https://www.cisco.com/en/US/products...80094e8b.shtml
والحل التانى اذا كانت ios لديك تسمح ب Zone-Based firewall ممكن كنت استخدمتها ايضا
https://blog.internetworkexpert.com/...wall-overview/
وبالتوفيق ،،،
ممتاز يا باشا
بس ليه معملتش البينج مخصص لرنج اي بي معين عشان تضمن محدش من الناس اللي ريحه واللي جيه تعمل عليك بينج
ويتم عمل اتاك عليك ؟؟؟
زي ان حد يبعت بالاي بي بتاعك بينج علي برود كاست نتورك
اوعي تخاف انا بس بقولك رائي بمأنك مظبط السكيورتي عندك
مستني ردك وتوضيحك يا باشا
اخوك
محمد عادل
-------------------------------------------
[B][SIZE=4]فين الاسئله يا شباب في اقسام Cisco
عاوزين اسئله في الVoice و الData
عاوزين نقدر نفدكم [/SIZE][/B]
بارك الله فيك
ان غزة .. وان جرحت فهي لن تموت
وان الأمة الاسلامية .. وان ضعفت فهي لن تستسلم
وهل بعد الليل البهيم .. الا فجر منير
شكرا اخواني على مروركم الجميل و ان شاء الله تكونوا استفدتم .
لا اله الا انت سبحانك اني كنت من الظالمين
https://www.quranflash.com/
https://www.ualberta.ca/%7Eesa106/images/egypt-flag.jpg
لا اله الا انت سبحانك اني كنت من الظالمين
https://www.quranflash.com/
https://www.ualberta.ca/%7Eesa106/images/egypt-flag.jpg
تسلم على التوضيح أخي الكريم .
عن نفسي في حكاية ال FW بافضل استخدام ال SDM عشان بيديلك حل متكامل حسب احتياجك بدل ما تقعد تكتب 250 ولا 300 سطر اوامر .
لكن اهم حاجة انك تكون فاهم ايه اللي بيحصل و ازاي حصل و كمان الاهم انك تعرف ازاي تعدل فيه حسب احتياجك .
و بالمناسبة فال FW اللي بيعمله ال SDM هو Zone-Based firewall و الاوامر المذكورة في المشاركة الاولى المفروض بتتكتب بعد ما ال SDM يبعت الاوامر الخاصة بال FW .
لا اله الا انت سبحانك اني كنت من الظالمين
https://www.quranflash.com/
https://www.ualberta.ca/%7Eesa106/images/egypt-flag.jpg
ليه بس القلق ده ، ربنا ما يجيب خوف :D .
الا منه سبحانه و تعالى .
احنا يا دوب لسه بنتعلم و بنحاول نساعد بعضنا على قد ما نقدر .
شوف يا حبيبي ، أنا ما رضتش اخليه لرنج معين لسبب بسيط و هو أني مش هكون عارف ال IP Address بتاعي اللي عمل منه test ( بمعنى انا مثلا دلوقتي في مكة و بعدين مثلا نزلت جدة أو القاهرة و بعدين اتصلوا بيك قالوا لك عندنا مشكلة في الراوتر ده عايزينك تحلها ، فعشان تدخل على الراوتر ده و تعمل عليه test هتعمله من اللابتوب بتاعك اللي متوصل بال DSL و بالتالي فال IP بتاعك هيتغير من مكان لمكان و حسب ظروفك فعشان كده اخترته انه يكون مفتوح )
انما لو عارف باي طريقة ما كل الايبهات اللي ممكن تستخدمها عشان تعمل ال test بتااعك فالافضل طبعا انك تحددها .
ان شاء الله تكون الفكرة وضحت .
لا اله الا انت سبحانك اني كنت من الظالمين
https://www.quranflash.com/
https://www.ualberta.ca/%7Eesa106/images/egypt-flag.jpg
متميز يا ماجد
بارك الله فيك ويسر لك
[RIGHT][FONT=Comic Sans MS][SIZE=5][COLOR=blue]CCNA certified[/COLOR][/SIZE][/FONT][/RIGHT]
بارك الله فيك وجزاك كل خير
المفضلات