بعد إذنك ضع الرسمة والإعدادات
السلام عليكم ،
لنفرض عندنا 3 اقسام : الادارة ، المبيعات ، التسويق .. نريد ان نمنع المبيعات والتسويق من الدخول الى الادارة باستخدام standred
وهذا ما فعلته عمليا باستخدام ال packet tracer
ولكن المشكلة كانت ان قسم الادارة ايضا لا يستطيع الدخول الى الاقسام التانية !!!!
request time out !!
هل ال standred يمنع شبكتين عن بعض كليا ، ام واحده عن الاخرى ؟؟ كيف استطيع ان امنع من الدخول الى الادارة واسمح للادارة بدخول الاقسام الاخرى باستخدام standred
جزيتم خيرا سلفا
بعد إذنك ضع الرسمة والإعدادات
التعديل الأخير تم بواسطة khrbji ; 22-08-2012 الساعة 15:28
رفعت الصورة ولكن لا اعرف ما المشكلة بها !!
ولكن السؤال: مثلا عندما امنع نت ورك (أ) من الدخول الى نت ورك (ب) ، هل تبقى (ب) تستطيع الدخول الى( أ)
عندما اعمل بينج من أ الى ب host unreacheble وهذا صحيح
ولكن بينح من ب الى أ request time out ؟؟؟
علما ان الشبكة شغالة 100% قبل acl
وانا متأكد من انها outband in int f0/0
access-list 1 deny 172.16.0.0 0.0.255.255
access-list 1 permit any
ip access-group 1 out
ولكن السؤال: مثلا عندما امنع نت ورك (أ) من الدخول الى نت ورك (ب) ، هل تبقى (ب) تستطيع الدخول الى( أ) : نعم تبقى كذلك
ممكن تبعتلي ملف الباكيت تريسر على الإيميل
heboo42 على هوتميل
لو بعت الملف ، اكتب هنا إنك بعته لأني مش بدخل كثير على الإيميل
شكرا للمهندس ايها على تعاونه ونشاطه بالقسم
بارك الله فيك
متابع..
سؤالك جميل
ونحن فى انتظار شرحنا اخونا الغالى المهندس ايهاب ولكن بحسب معلوماتى البسيطه
ان لو افترضنا مثلا ان عندى توبولوجى مثال A ----------( router ) ------------------- B
فلو انا منعت الاجهزه من شبكه b انها تكلم اجهزه فى شبكه a وبعد كدا بقول للروتر
يا روتر لو حد من شكه a عاوز يكلم شبكه b اسمح لله بالكلام طبعا الروتر هيقلى اسف جدا جدا الكلام ده مش هطبقه
والدليل انت شفته بالفعل لما طبقت الخاصيه على الباكيت تريسر
ليه ده حصل ؟
الاجابه ببساطه ان احنا نفهم طبيعه الترافيك
تعالى ندى مثال
ابسط صوره من صور الترافيك هوا ترافيك ال ping
انت رحط على الانترفيس ولتله deny in out direction
وفعلا لما جت الشبكه b تكلم الروتر وجت تخرج من الانترفيس اللى متصل على شبكه a لقت قدمها اكسس ليست out
راحت منعه الشبكه b انها تكلم a
واداك رساله واضحه صريحه انه ممنوع
لما جيت تعكس الوضع انك واقف فى شبكه a وبتبنج على الشكه b
راحت الباكيت طالعه من الشبكه a مفيش شىء وقفها حتى الان راحت ماشيه زى الفل ورايحه على شبكه b
جميل خالص لغايه كدا زى الفل
وهيا راجعه ليك بالسلامه وعاوزه تدخل تانى لشبكتها الام اللى هيا a
حصل الاتى
لقت رساله جميله خالص على الانترفيس بتقلها
وبتسالها انتى مين؟؟؟؟؟؟
رضت عليها الباكيت وقلتلها الله انتى متعرفنيش ازاى؟
دا انا لسه طالعه من عندى وقلتيلى اطلعى بالسلامه اشمعنا دلقوتنى بتسالينى انا مين
لانك جايه الان من مصدر ما فلازم اسالك انتى مصدرك ايه هنا بقا
القصه بتتكشف لما يعرف ان مصدها الان جايه من شبكه b هيقلها انتى جايا من b
اسف جدا مش هقدر ادخلك لان عندى اكسس ليست out بتقلى لو حد جالك من b مدخلوش
ازاى بس دا انا لسه طالعه منك وممنعتنيش ايوا الكلام صحيح
ممنعتكشى وانت طالع عشان مكنتش بطابق الاكسس ليست
لكن وانت داخل طابقت الاكسس ليست لان اصبح مصدرك يوافق الاكسس ليست وبالتالى
اسف مش هقدر ادخلك
اذا على حسب رؤيتى البسيطه
ان لو طبقت منع ان b يروح الى a
كانى منعت a انوا يروح الى b
هتقلى طيب والحل ايه
هقلك لو مثلا من ccnp
هيكون عندنا شيك اسمه vacl and pacl
ولكن كلاهما ايضا لا يوافق هذا السيناريو لان
ال vacl لازم يبقوا كلهم شبكه واحده مش شبكات مختلفه
وال pacl بيبقا فيه بورت مشترك عشان b يكلم a و c تكلم a برضوا لكن مفيش السناريو ده
متهيالى ده هيكون شغل
adminstraion بوسائل الميكروسوفت
زى مثلا ال authontication rights
والله اعلم وانا زيك مستنى اجابه اخوناايهاب
هقلك انا مش عارف بالنسبه لسيكو عشان كدا قلتلك فى انتظار مشاركه اخونا ايهاب
the light in the end of the tunnel
من يعين الناس . لابد ان تأتيه المعونه.
زي ما الاخ sheno قال بالظبط كده
الموضوع بسيط خالص الترافيك هتتمنع وهيه راجعه
عاوز تتأكد غير اال Access list الي Extended وامنع بورت معين وبعدين حاول توصل للشبكه التانيه عن طريق بورت تاني هتوصل عادي
انما اللي حصل هنا ان ال Standard acl منعت كله
التعديل الأخير تم بواسطة anduril87 ; 22-08-2012 الساعة 22:56
ولكن يبقى السؤال يا anduril87 يحتاج الى اجابه
لان ايا كانت نوع ال اكسس ليست سواء استنادرد او اكستنديد اكسس ليست برضوا
هيتمنع
يا ريت لو عندك اجابه تنورنا بيها
the light in the end of the tunnel
من يعين الناس . لابد ان تأتيه المعونه.
ممكن Established access-list
اظن الحل مع رجاله السكيورتي
CBAC or Zone Based Firewall
لكن يا غالى ال establish acl بتعمل check على الباكيت اللى راجعه وبتفحص شىء اسمه ال tcp bit
يعنى لازم يكون نوع الباكيت من عائلة ال tcp يمعنى اخر
ان الباكيت بتعتنا لو من نوع عائلة ال udp او من عائلة ال icmp
اذن لن تطب علهيا الخاصيه وستمنع الباكيت من الرجوع
يعنى لا تقدر تعمل بينج ولا اى شىء بيستخد udp
وبكدا تبقى مازالت المشكله قائمه
لن يبقا امامنا الا ال reflexive acl تعالى نقرا وشنوف هنقدر نوصل فيها الى ايه
ونفيد ونستفاد
ومازلنا ايضا فى انتظار اراء اخوتنا الاعضاء
the light in the end of the tunnel
من يعين الناس . لابد ان تأتيه المعونه.
أيوه فاهم اهو ممكن يكون حل مفيش اي معلومات معانا
ياريت صاحب الموضوع يقول لينا معلومات اكتر
عموما لو هتدور reflexive acl يبقه اولي تدور علي CBAC لانهم بيعملو نفس الحاجه بس CBAC احدث وفيه بعض الخصائص الزياده اللي معرفهاش
هههههههه
الموضوع دا عاوز واحد ccnp sec يخلصه
آسف يا جماعة على الاستعجال في الرد ، لم أركز في السؤال جيدا
أعتقد أنا أيضا أن reflexive acl ممكن تحل الموضوع
انا اكتشفت يا andurli87 شىء خطير ان احنا من مشاكل اخوتنا الاعضاء حقيقى وبجد بجد بنتعلم كتير قوىى
بالرغم زى منتا قلت ان ممكن ده ميكنشى مجال دارستنا اللى هوا روتنج
لكن بالجوجل بنعرف كتير وبنيجى نتشارك فى اللى وجدناه
the light in the end of the tunnel
من يعين الناس . لابد ان تأتيه المعونه.
العفو يا بشمندس ايهاب لا اسف ولا شىء زى ما قلتلك احنا اللى بنتعلم منك
the light in the end of the tunnel
من يعين الناس . لابد ان تأتيه المعونه.
المفضلات