شكرا اخي محمد على الموضوع
فعلا امر مهم جدا يساعد في معرفة حالة الفايروول
ولاتحرمنا من مشاركاتك الهادفة مثل هذا الموضوع
والله يجزيك الخير
السلام عليكم ورحمة الله وبركاته,
لا أتكلم هنا عن برنامج Packet tracer ولكن عن أمر موجود في ASA
قمت بعمل بعض الإعدادت على ASA ولكنك لست متأكدا من النتيجة أو لا يوجد طريقة لعمل إختبار لمعرفة مدى صحة الإعدادت, ماذا تفعل في ذلك الوقت؟ يمكنك إستخدام هذا الأمر packet-tracer لعمل محاكاة ل traffic وسيخبرك ASA بالنتيجة. يمكن إيضا إستخدام هذا الأمر في troubleshooting لمعرفة سبب المشكلة بسرعة بدلا من النظر لعدد طويل من الأسطر ومحاولة إستنتاج سبب المشكلة.
طريقة كتابته هي packet-tracer وبعدين input و بعدين نحدد interface إللي قادم منه traffic وبعدين نحدد نوع الترافيك (TCP,UDP,ICMP) وبعدين نحدد source address and source port وممكن يكونsource port أي رقم إنت تختاره , وبعدين نحدد Destination address and port
خلينا نشوف بعض الأمثلة
ASA(config)# packet-tracer input inside tcp 136.1.121.5 5555 5.6.7.8 23
Phase: 1
Type: ACCESS-LIST
Subtype:
Result: ALLOW
Config:
Implicit Rule
Additional Information:
MAC Access list
ما في Access-list تمنع ال traffic على inside interface
Phase: 2
Type: FLOW-LOOKUP
Subtype:
Result: ALLOW
Config:
Additional Information:
Found no matching flow, creating a new flow
طبعا ASA هو Stateful firewall ولازم يعمل new entry عنده في TableResult:
input-interface: inside
input-status: up
input-line-status: up
Action: drop
Drop-reason: (no-route) No route to host
سبب المشكلة انه ما في route ل 5.6.7.8
----------------------------------------------------
ASA(config)# packet-tracer input outside tcp 136.1.123.6 5555 136.1.121.5 23
Phase: 1
Type: ACCESS-LIST
Subtype:
Result: ALLOW
Config:
Implicit Rule
Additional Information:
MAC Access list
Phase: 2
Type: FLOW-LOOKUP
Subtype:
Result: ALLOW
Config:
Additional Information:
Found no matching flow, creating a new flow
Phase: 3
Type: ROUTE-LOOKUP
Subtype: input
Result: ALLOW
Config:
Additional Information:
in 136.1.121.0 255.255.255.0 inside
Phase: 4
Type: ACCESS-LIST
Subtype:
Result: DROP
Config:
Implicit Rule
Additional Information:
Result:
input-interface: outside
input-status: up
input-line-status: up
output-interface: inside
output-status: up
output-line-status: up
Action: drop
Drop-reason: (acl-drop) Flow is denied by configured rule
outside access-list تمنع الترافيك القادم للداخل
---------------------------------------
ASA(config)# packet-tracer input inside tcp 136.1.121.6 5555 136.1.123.5 23الترافيك يحتاج nat عشان يقدر يخرج ولا يوجد أي إعدادات ل NAT
Phase: 1
Type: FLOW-LOOKUP
Subtype:
Result: ALLOW
Config:
Additional Information:
Found no matching flow, creating a new flow
Phase: 2
Type: ROUTE-LOOKUP
Subtype: input
Result: ALLOW
Config:
Additional Information:
in 136.1.123.0 255.255.255.0 outside
Phase: 3
Type: IP-OPTIONS
Subtype:
Result: ALLOW
Config:
Additional Information:
Phase: 4
Type: NAT
Subtype:
Result: DROP
Config:
nat (inside) 0 0.0.0.0 0.0.0.0
nat-control
match ip inside any outside any
no translation group, implicit deny
policy_hits = 1
Additional Information:
Result:
input-interface: inside
input-status: up
input-line-status: up
output-interface: outside
output-status: up
output-line-status: up
Action: drop
Drop-reason: (acl-drop) Flow is denied by configured rule
---------------------------------------------------------------------------------------
هل وضحت لكم أهمية هذا الأمر.
بالتوفيق لكم جميعا
شكرا اخي محمد على الموضوع
فعلا امر مهم جدا يساعد في معرفة حالة الفايروول
ولاتحرمنا من مشاركاتك الهادفة مثل هذا الموضوع
والله يجزيك الخير
وإياك أخي ايمن
نسيت أضيف آخر مثال لما تكون كل الإعدادت صحيحة
ASA(config)# packet-tracer input inside tcp 136.1.121.5 5656 10.0.0.50 80
Phase: 1
Type: ACCESS-LIST
Subtype:
Result: ALLOW
Config:
Implicit Rule
Additional Information:
MAC Access list
Phase: 2
Type: FLOW-LOOKUP
Subtype:
Result: ALLOW
Config:
Additional Information:
Found no matching flow, creating a new flow
Phase: 3
Type: ROUTE-LOOKUP
Subtype: input
Result: ALLOW
Config:
Additional Information:
in 10.0.0.0 255.255.255.0 dmz
Phase: 4
Type: IP-OPTIONS
Subtype:
Result: ALLOW
Config:
Additional Information:
Phase: 5
Type: IP-OPTIONS
Subtype:
Result: ALLOW
Config:
Additional Information:
Phase: 6
Type: FLOW-CREATION
Subtype:
Result: ALLOW
Config:
Additional Information:
New flow created with id 7, packet dispatched to next module
Result:
input-interface: inside
input-status: up
input-line-status: up
output-interface: dmz
output-status: up
output-line-status: up
Action: allow
جزاك الله خيرا..
______:D______
https://img709.imageshack.us/img709/4950/arab.png
ضغطة واحدة تنقلك إلى عالم الإحتراف
_______________________
Agissez comme s'il était impossible d'échouer
جزاك الله خير
وعليكم السلام ورحمة الله وبركاته
الله ينور عليك يالغالي، شرح مميز كعادتك.
أحب أن أضيف أنه بالإمكان إضافة كلمة detail في نهاية الأمر للحصول على تفاصيل أكثر، مثال:
ASA(config)# packet-tracer input inside tcp 136.1.121.5 5656 10.0.0.50 80 detail
تحيتي لك،
مشكور اخي الحبيب
مميز كالعاده
[CENTER][SIZE=4]{[COLOR=red]وَإِذْ يَمْكُرُ بِكَ الَّذِينَ كَفَرُوا لِيُثْبِتُوكَ أَوْ يَقْتُلُوكَ أَوْ يُخْرِجُوكَ وَيَمْكُرُونَ وَيَمْكُرُ اللَّهُ وَاللَّهُ خَيْرُ الْمَاكِرِينَ[/COLOR]}[/SIZE][SIZE=4]…[/SIZE][SIZE=6][SIZE=4](الأنفال:30)
[URL="https://www.facebook.com/pages/yasserauda/215036411882800"]للتواصل معي عبر الفيس بوك اضغط هنا
[/URL][URL="https://www.youtube.com/watch?v=37LoZWjv1HE&feature=player_profilepage"][/URL][URL="https://www.facebook.com/pages/yasserauda/215036411882800"] صفحتي الخاصه على الفيس بوك
[/URL][URL="https://www.facebook.com/pages/Mentored-Learning-New-Horizons-Dubai/234720379925819"]صفحة التعليم الارشادي على الفيس بوك
[/URL][URL="https://www.youtube.com/user/yasserramzyauda"]قناتي على اليوتيوب
[/URL][/SIZE][/SIZE][SIZE=3][URL="https://yasserauda.blogspot.com/"]مدونتي الخاصه[/URL][/SIZE][/CENTER]
السلام عليكم
معلش هو ال packet tracer فيه ASA انا عندى اخر اصدار وهو 5.2 وده ليس فيه ASA
هل فى اصدار جديد فيه ASA
شكرا
امر PACKET TRACER غير برنامج PACKET TRACER
الامر بيستخدم على ال ASA لمحاكاة خروج ودخول تفريك معين من مصدر معين الي واجهة معينه عبر ال ASA ومحاولة معرفة ماذا سيحدث له
كما قالي اخي ميني ماكس هو مفيد في ال TROUBLESHOOTING (حل المشاكل)
خصوصا مع مشاهدة ال syslog و استخدام الاوامر sh conn detial , show xlate detail
لتكوين صورة شامله عن سبب المشكله
[CENTER][SIZE=4]{[COLOR=red]وَإِذْ يَمْكُرُ بِكَ الَّذِينَ كَفَرُوا لِيُثْبِتُوكَ أَوْ يَقْتُلُوكَ أَوْ يُخْرِجُوكَ وَيَمْكُرُونَ وَيَمْكُرُ اللَّهُ وَاللَّهُ خَيْرُ الْمَاكِرِينَ[/COLOR]}[/SIZE][SIZE=4]…[/SIZE][SIZE=6][SIZE=4](الأنفال:30)
[URL="https://www.facebook.com/pages/yasserauda/215036411882800"]للتواصل معي عبر الفيس بوك اضغط هنا
[/URL][URL="https://www.youtube.com/watch?v=37LoZWjv1HE&feature=player_profilepage"][/URL][URL="https://www.facebook.com/pages/yasserauda/215036411882800"] صفحتي الخاصه على الفيس بوك
[/URL][URL="https://www.facebook.com/pages/Mentored-Learning-New-Horizons-Dubai/234720379925819"]صفحة التعليم الارشادي على الفيس بوك
[/URL][URL="https://www.youtube.com/user/yasserramzyauda"]قناتي على اليوتيوب
[/URL][/SIZE][/SIZE][SIZE=3][URL="https://yasserauda.blogspot.com/"]مدونتي الخاصه[/URL][/SIZE][/CENTER]
اخي الكريم, ﻻ أتكلم هنا عن برنامج Packet tracer ولكن عن أمر موجود في ASA
وشكرا ل اﻷخوة الكرام على مداخلاتهم
امر PACKET TRACER غير برنامج PACKET TRACER
الامر بيستخدم على ال ASA لمحاكاة خروج ودخول تفريك معين من مصدر معين الي واجهة معينه عبر ال ASA ومحاولة معرفة ماذا سيحدث له
كما قالي اخي ميني ماكس هو مفيد في ال TROUBLESHOOTING (حل المشاكل)
خصوصا مع مشاهدة ال syslog و استخدام الاوامر sh conn detial , show xlate detail
لتكوين صورة شامله عن سبب المشكله
متشكر جدا على التوضيح الجميل
جزاكم الله خيرا
المفضلات