النتائج 1 إلى 13 من 13

الموضوع: محتاج أعمل Access list لمنع النت عن البعض - أرجو المساعدة

  1. #1
    عضو
    تاريخ التسجيل
    Apr 2005
    المشاركات
    4
    معدل تقييم المستوى
    0

    محتاج أعمل Access list لمنع النت عن البعض - أرجو المساعدة


    الأعزاء

    محتاج أعمل Access list لمنع النت عن البعض في الشبكة
    الشبكة فيها راوتر سيسكو 2851
    عليه interface ethernet e0/0.1
    له ip 10.10.32.1

    الشبكة عبارة عن
    10.10.32.0
    255.255.252.0

    عايز أقفل النت ( والنت فقط لأنه فيه ports تانية ضروريه خاصة بال data base وال dns وال dhcp) على الجميع ماعدا عدد 20 مستخدم
    من 10.10.32.2
    إلى 10.10.32.22
    والباقيين يكون مفتوح لهم كل حاجة ماعدا النت

    أريد الكود . وعلى أي interface يوضع وهل يكون inbound وللا يكون outbound
    أرجو المساعدة

  2. #2
    عضو
    تاريخ التسجيل
    Sep 2006
    المشاركات
    105
    الدولة: Egypt
    معدل تقييم المستوى
    0

    رد: محتاج أعمل Access list لمنع النت عن البعض - أرجو المساعدة

    اخي الكريم
    كيف يخرج الجميع للانترنت ؟؟ نحتاج توضيح اكثر للشبكة لديك
    وعامة اذا كان من خلال هذا الروتر و الNAT فانت تحتاج الي ان تضبط ال Access list الخاصة بال NAT وذلك بعمل permit للمسموح لهم فقط
    اما اذا كان الخروج للانترنت من خلال روتر اخر فيكون عليه هو هذا الامر باستخدام ال NAT ايضا وليس علي الراوتر الذي تحدثت عنه

  3. #3
    عضو برونزي
    تاريخ التسجيل
    Jan 2008
    المشاركات
    453
    الدولة: Egypt
    معدل تقييم المستوى
    0

    رد: محتاج أعمل Access list لمنع النت عن البعض - أرجو المساعدة

    access-list 1 deny 10.10.32.16 0.0.0.15
    on interface fa0/0.1 or in interface fa0/0 out bounded
    دة علشان تمنع دخولهم على النت لان دة مش بيتعملة nat
    جربها و ان شاء الله تشتغل ارجو تقولى عاملت اية بعد ما تجرب

  4. #4
    عضو برونزي
    تاريخ التسجيل
    Feb 2008
    المشاركات
    664
    الدولة: England
    معدل تقييم المستوى
    17

    رد: محتاج أعمل Access list لمنع النت عن البعض - أرجو المساعدة

    بالفعل نحتاج توضيح اكثر

    ولكن هذه محاوله من طالب علم
    access-list 100 permit tcp 10.10.32.0 0.0.0.15 gt 1023 any eq 80
    access-list 100 deny tcp any gt 1023 any eq 80
    access-list 100 permit ip any any

    ثم تضعها inbound على الـ interface التي تربط الروتر بالانترنت
    طبعاً هذه access-list سوف تسمح للاجهزه من 10.10.32.1 الى 10.10.32.31 يعني ثلاثين جهاز بالاتصال بصفحات الانترنت.ولكن لن تمنع الاجهزه من الاتصال بـ ftp server او غيرها من البرامج التي لا تعتمد على port 80 على شبكة الانترنت.

    والله اعلم

  5. #5
    عضو برونزي
    تاريخ التسجيل
    Mar 2007
    المشاركات
    1,529
    الدولة: Egypt
    معدل تقييم المستوى
    19

    رد: محتاج أعمل Access list لمنع النت عن البعض - أرجو المساعدة

    اخي الكريم من فضلك ارسم النتورك لكي يتمكن أخوانك من التخيل الجيد للشبكة و من ثم يستطيعون مساعدتك
    و هل كل ما تريد منعه هو التصفح فقط و تحميل الاشياء يعني مش يفتح www فهذه سهلة جدا
    router(config)#access-list 100 deny any any eq 80
    لكن انا ما قرات بقية كلامك للاخر لاني عن نفسي لا اتخيل نتورك غير لما تكون مرسومة أمامي
    Mohamed Samir
    Double CCIEs#27042 (R/S&SP)
    رابط القناة الخاص بي
    https://www.youtube.com/channel/UCn9zWk33OYX65NFdTmra6-g/playlists

  6. #6
    عضو فضي الصورة الرمزية saqr8000
    تاريخ التسجيل
    Feb 2008
    المشاركات
    847
    الدولة: Canada
    معدل تقييم المستوى
    0

    رد: محتاج أعمل Access list لمنع النت عن البعض - أرجو المساعدة

    تمام فلا يا اخ محمد انا محتاج ارى النتورك علشان يسهل علينا الاجابه

    Cisco:CCNA,CCNA sec,CCNP,CCSP,CCVP,CCIE-Sec in progress
    Nortel :NCSS Support Specialist,NCDS Design Specialist
    Juniper: JNCIA-ER,JNCIA-FWV
    MS:MCSE +Security

  7. #7
    عضو
    تاريخ التسجيل
    Apr 2005
    المشاركات
    4
    معدل تقييم المستوى
    0

    رد: محتاج أعمل Access list لمنع النت عن البعض - أرجو المساعدة

    الأعزاء
    شكرا لردودكم
    وأسف على التأخر في الرد
    لكن احتدت أعمل download لبرنامج Concept drow علشان أرسم بيه تصميم الشبكة

    وها هو التصميم مرسوما
    https://i35.tinypic.com/nvw3g8.jpg

    كنت عايز أقول إن كل الناس عندها obtainan IP adress Automatically
    وكل الناس شايفة النت
    ال DHCP موجود على راوتر سيسكو
    ال DNS و ال domain controller على microsoft windows server 2003
    يوجد في الشبكة Data Base Server

    حاولت أعمل Access List على النحو التالي :
    ip access list extended aclname
    deny tcp host 10.10.32.2 any eq 80
    deny tcp host 10.10.32.3 any eq 80
    deny tcp host 10.10.32.4 any eq 80
    deny tcp host 10.10.32.5 any eq 80
    permit tcp any any
    وشغلتها على ال interface e0/0.1
    inbound

    ولكن النتايج غير طبيعية حيث يغلق علي المجموعة اللي مانعها من النت يغلق عليها بقية الPorts فيفقدوا الاتصال بال DHCP وال Data Base Server[/B][/B]

  8. #8
    عضو
    تاريخ التسجيل
    Sep 2006
    المشاركات
    105
    الدولة: Egypt
    معدل تقييم المستوى
    0

    رد: محتاج أعمل Access list لمنع النت عن البعض - أرجو المساعدة

    اخي الكريم الامر الاخير غيره الي الاتي

    permit ip any any
    معظم ما قلت من بورتات تستخدم ال udp
    فبالامر الذي استخدمته انت سمح فقط الي tcp والامر الاخير الموجود في كل acl وهو deny all سيمنع الباقي لذا فسيمنع ال udp وهو ما حدث معك

  9. #9
    عضو الصورة الرمزية frozenEyes
    تاريخ التسجيل
    Apr 2006
    المشاركات
    624
    الدولة: Egypt
    معدل تقييم المستوى
    18

    Post رد: محتاج أعمل Access list لمنع النت عن البعض - أرجو المساعدة

    السلام عليكم ورحمه الله وبركاته

    قم بتكوين EXTENDED ACCESS-LIST

    Router(config)#ip access-list extended ACL

    Router(config-ext-nacl)#permit tcp 10.10.32.2 0.0.0.20 any eq 80

    Router(config-ext-nacl)#permit udp 10.10.32.0 0.0.0.3 any eq bootps

    Router(config-ext-nacl)#permit tcp any any eq 53

    Router(config-ext-nacl)#permit udp any any eq 53

    وقم بتطبيق ACL على الانترفيس e0/0.1 على الاتجاه inbound للروتر جهة اليمين فى رسمتك

    وجرب وان شاء الله خير

    وبالتوفيق ان شاء الله ،،،


  10. #10
    عضو برونزي
    تاريخ التسجيل
    Feb 2008
    المشاركات
    664
    الدولة: England
    معدل تقييم المستوى
    17

    رد: محتاج أعمل Access list لمنع النت عن البعض - أرجو المساعدة

    اقتباس المشاركة الأصلية كتبت بواسطة Eng. Mohamed مشاهدة المشاركة
    اخي الكريم الامر الاخير غيره الي الاتي

    permit ip any any
    الحل كما ذكر

  11. #11
    عضو
    تاريخ التسجيل
    Apr 2005
    المشاركات
    4
    معدل تقييم المستوى
    0

    رد: محتاج أعمل Access list لمنع النت عن البعض - أرجو المساعدة

    شكرا للأخوه على ردودهم المعتبرة
    لكن قبل ما اجرب
    كنت محتاج الأخ FrozenEyes يفهمني ليه 10.10.32.2 0.0.0.20 اللي في الأمر
    Router(config-ext-nacl)#permit tcp 10.10.32.2 0.0.0.20 any eq 80

    وكمان ليه 0.0.0.3 وإشمعنى bootps اللي في الأمر
    Router(config-ext-nacl)#permit udp 10.10.32.0 0.0.0.3 any eq bootps

    مع العلم إني عايز أقفل النت على الجميع ما عدا من 10.10.32.2 إلى 10.10.32.22 على الراوتر الأول و ال subnet mask عندي هو 255.255.252.0
    وكمان أقفل النت على الجميع ما عدا من 10.10.64.2 إلى 10.10.64.12 على الراوتر التاني و ال subnet mask عندي هو 255.255.252.0


    وأشكركم

  12. #12
    عضو
    تاريخ التسجيل
    Apr 2005
    المشاركات
    4
    معدل تقييم المستوى
    0

    رد: محتاج أعمل Access list لمنع النت عن البعض - أرجو المساعدة

    جربت النهارده ولوقت طويل جدا كل الحلول التي طرحت وغيرها كتير.
    ولكن.............................
    النتايج كانت خلاف المتوقع
    يعني فين المشكلة لما أعمل :

    permit tcp host 10.10.32.10 any
    permit udp host 10.10.32.10 any
    permit icmp host 10.10.32.10 any
    permit ip host 10.10.32.10 any

    permit tcp any any neq 80

    يعني سمحت لماكينة محددة بكل حاجة بما في ذلك النت ، وسمحت لكل الباقيين كل حاجة ماعدا النت

    إيه الغلط في كده ؟؟؟؟؟؟

    وجربتها على واحد واحد من ال (interfaces) في كل من ال (in) و ال (out) برده مافيش فايده

    حد عنه رد ؟

  13. #13
    عضو برونزي الصورة الرمزية one-zero
    تاريخ التسجيل
    Jul 2007
    المشاركات
    8,296
    معدل تقييم المستوى
    65

    رد: محتاج أعمل Access list لمنع النت عن البعض - أرجو المساعدة

    هو الموضوع بسيط ليه كم الاوامر ده
    اتفضل اللي المفروض تكتبه على الراوتر من جهة اليمين وهو غير متصل بالموديم مباشرة:

    Router(config)#ip access-list 110 deny tcp 10.10.32.2 0.0.3.255 any eq 80
    Router(config)#ip access-list 110 premit any any
    Router(config)#int e 0/0.1
    Router(config-if)# ip access-group 110 in

    وزد من السطر الاول زي ما انت عايز غير بس رقم البورت بباقي البورتات لخدمات النت التي تريد منعها غير 80 اللي هو www
    وطبعا ممكن تمنع مجموعة خدمات مره واحدة باستخدام الخصائص البديلة ل eq مثل gt , lt وهكذا
    [CENTER][SIZE=4]{[COLOR=red]وَإِذْ يَمْكُرُ بِكَ الَّذِينَ كَفَرُوا لِيُثْبِتُوكَ أَوْ يَقْتُلُوكَ أَوْ يُخْرِجُوكَ وَيَمْكُرُونَ وَيَمْكُرُ اللَّهُ وَاللَّهُ خَيْرُ الْمَاكِرِينَ[/COLOR]}[/SIZE][SIZE=4]…[/SIZE][SIZE=6][SIZE=4](الأنفال:30)
    [URL="https://www.facebook.com/pages/yasserauda/215036411882800"]للتواصل معي عبر الفيس بوك اضغط هنا
    [/URL][URL="https://www.youtube.com/watch?v=37LoZWjv1HE&feature=player_profilepage"][/URL][URL="https://www.facebook.com/pages/yasserauda/215036411882800"] صفحتي الخاصه على الفيس بوك
    [/URL][URL="https://www.facebook.com/pages/Mentored-Learning-New-Horizons-Dubai/234720379925819"]صفحة التعليم الارشادي على الفيس بوك
    [/URL][URL="https://www.youtube.com/user/yasserramzyauda"]قناتي على اليوتيوب
    [/URL][/SIZE][/SIZE][SIZE=3][URL="https://yasserauda.blogspot.com/"]مدونتي الخاصه[/URL][/SIZE][/CENTER]

المواضيع المتشابهه

  1. سؤال في Access Control List أرجو الرد ؟؟!!
    بواسطة ahmedlotfy2000 في المنتدى الأرشيف
    مشاركات: 8
    آخر مشاركة: 09-01-2013, 19:07
  2. سوال فى access list الرجاء المساعدة
    بواسطة MoHaMMeD_AhMeD في المنتدى الأرشيف
    مشاركات: 4
    آخر مشاركة: 03-10-2011, 15:22
  3. Prefix List Vs Distribute list Vs Offse list Vs Route Map Vs Access List
    بواسطة Brigadier في المنتدى الأرشيف
    مشاركات: 8
    آخر مشاركة: 17-02-2011, 03:50
  4. تفضلوا IP Access List Command List.
    بواسطة okaenrique في المنتدى الأرشيف
    مشاركات: 19
    آخر مشاركة: 25-09-2008, 06:26
  5. كيف أمنع استخدام USB في الشبكة أرجو المساعدة
    بواسطة gun14 في المنتدى الأرشيف
    مشاركات: 7
    آخر مشاركة: 19-06-2007, 18:25

الكلمات الدلالية لهذا الموضوع

المفضلات

ضوابط المشاركة

  • لا تستطيع إضافة مواضيع جديدة
  • لا تستطيع الرد على المواضيع
  • لا تستطيع إرفاق ملفات
  • لا تستطيع تعديل مشاركاتك
  •