آقا من براي logging روترم روي يك يونيكس ماشين syslog server نصب كردم حالا نياز دارم يك ip داخل lan براي روترم تعريف كنم كه سرورم رو ببينه. فرقي ميكنه روي چه نوع اينترفيسي اينكارو كنم ؟
Printable View
آقا من براي logging روترم روي يك يونيكس ماشين syslog server نصب كردم حالا نياز دارم يك ip داخل lan براي روترم تعريف كنم كه سرورم رو ببينه. فرقي ميكنه روي چه نوع اينترفيسي اينكارو كنم ؟
سلام
دوست عزیز بهتره از همون ای پی اینترفیسی استفاده کنی که به هاب وصل
یعنی ethernet ای که به هاب متصل شده
مشكل اينجاست كه اون valid ip داره و توي vlan ديگه اي كه ميره بيرون قرار گرفته.
البته 2 تا etehrnet ديگه هم داره كه اونا هم valid ip دارن و شرايط مشابهي دارن.
حالا آيا ميشه secondary ip توي يه vlan ديگه به يكي از اينا داد ؟
بله دوست عزیز شما می تونی secondary ip تو vlan دیگه بدی
اگر با ip route رنج ip داخليمو بفرستم روي firewall به نظر بهتر نيست ؟
اينجوري روتر syslog server رو ميبينه بدون اينكه ip ديگه اي بهش بدم.
البته پورت syslog رو هم بايد روي firewall باز كنم.
نميدونم دارم پرت و پلا ميگم يا نه ممنون ميشم دوستان راهنمايي كنن.
شما کافی پورت syslog رو تو روتر برای ای پی خودت باز بزاری و برای بقیه ای پی ها ببندی
فکر نمی کنم firewall دیگه لازم داشته باشی
من باز سوال دارم
من اگر بخوام بين روتر و syslog server يه firewall قرار بدم بايد براي باز كردن syslog توي access list چه ip رو به عنوان مقصد ذكر كنم ؟ firewall يا syslog server ؟
ip مبدا چي ؟ ميتونم خود روتر رو بدم ؟
شما باید ای پی sys log server رو باز بزارین
چون شما میخوای sys log رو ببینی
thanks neynef
بازم سلام
آقا syslog من log نميگيره. من كارايي كه كردم رو براتون مينويسم به همراه بخشي از config روترم:
اين اينترفيس هاي روتر :
interface FastEthernet0/0
mac-address xxxx.xxxx.xxxx
ip address x.y.z.251 255.255.255.128 secondary
ip address x.y.z.221 255.255.255.224 secondary
ip address x.y.z.2 255.255.255.248
no ip redirects
no ip unreachables
no ip mroute-cache
duplex auto
speed auto
no cdp enable
!
interface FastEthernet0/1
ip address x.y.z.9 255.255.255.248
duplex auto
speed auto
service-policy output ELearning
no cdp enable
!
interface Serial1/0
no ip address
shutdown
no fair-queue
serial restart-delay 0
no cdp enable
!
interface Serial1/1
no ip address
shutdown
serial restart-delay 0
no cdp enable
!
interface Serial1/2
no ip address
shutdown
serial restart-delay 0
no cdp enable
!
interface Serial1/3
ip unnumbered FastEthernet0/0
ip access-group outside in
ip access-group in2out out
no ip redirects
no ip unreachables
no ip mroute-cache
no keepalive
no fair-queue
ignore-dcd
serial restart-delay 0
no cdp enable
!
interface FastEthernet2/0
ip address x.y.t.1 255.255.255.0
ip wccp web-cache redirect out
ip wccp web-cache redirect in
duplex auto
speed auto
service-policy output Pol
no cdp enable
اينم access list:
ip access-list extended outside
deny ip 10.0.0.0 0.255.255.255 any log
deny ip 127.0.0.0 0.255.255.255 any log
deny ip 255.0.0.0 0.255.255.255 any log
deny ip 224.0.0.0 0.255.255.255 any log
deny ip 172.17.0.0 0.0.255.255 any log
deny ip 192.168.0.0 0.0.255.255 any log
deny udp any any eq snmp log
permit icmp any any echo-reply
deny tcp any 172.16.0.0 0.0.255.255 range 137 139 log
deny tcp any 172.16.0.0 0.0.255.255 eq chargen log
deny tcp any 172.16.0.0 0.0.255.255 eq cmd log
deny tcp any 172.16.0.0 0.0.255.255 eq finger log
deny tcp any 172.16.0.0 0.0.255.255 eq ident log
deny tcp any 172.16.0.0 0.0.255.255 eq login log
deny tcp any 172.16.0.0 0.0.255.255 eq daytime log
deny tcp any 172.16.0.0 0.0.255.255 eq discard log
deny tcp any 172.16.0.0 0.0.255.255 eq echo log
deny tcp any 172.16.0.0 0.0.255.255 eq exec log
deny tcp any 172.16.0.0 0.0.255.255 eq gopher log
deny tcp any 172.16.0.0 0.0.255.255 eq hostname log
deny tcp any 172.16.0.0 0.0.255.255 eq irc log
deny tcp any 172.16.0.0 0.0.255.255 eq klogin log
deny tcp any 172.16.0.0 0.0.255.255 eq kshell log
deny tcp any 172.16.0.0 0.0.255.255 eq lpd log
deny tcp any 172.16.0.0 0.0.255.255 eq nntp log
deny tcp any 172.16.0.0 0.0.255.255 eq pim-auto-rp log
deny tcp any 172.16.0.0 0.0.255.255 eq sunrpc log
deny tcp any 172.16.0.0 0.0.255.255 eq talk log
deny tcp any 172.16.0.0 0.0.255.255 eq telnet log
deny tcp any 172.16.0.0 0.0.255.255 eq 37 log
deny tcp any 172.16.0.0 0.0.255.255 eq uucp log
deny tcp any 172.16.0.0 0.0.255.255 eq whois log
deny udp any 172.16.0.0 0.0.255.255 range netbios-ns netbios-ss log
deny udp any 172.16.0.0 0.0.255.255 eq biff log
deny udp any 172.16.0.0 0.0.255.255 eq bootpc log
deny udp any 172.16.0.0 0.0.255.255 eq bootps log
deny udp any 172.16.0.0 0.0.255.255 eq discard log
deny udp any 172.16.0.0 0.0.255.255 eq dnsix log
deny udp any 172.16.0.0 0.0.255.255 eq echo log
deny udp any 172.16.0.0 0.0.255.255 eq mobile-ip log
deny udp any 172.16.0.0 0.0.255.255 eq netbios-dgm log
deny udp any 172.16.0.0 0.0.255.255 eq ntp log
deny udp any 172.16.0.0 0.0.255.255 eq pim-auto-rp log
deny udp any 172.16.0.0 0.0.255.255 eq snmptrap log
deny udp any 172.16.0.0 0.0.255.255 eq sunrpc log
deny udp any 172.16.0.0 0.0.255.255 eq syslog log
deny udp any 172.16.0.0 0.0.255.255 eq talk log
deny udp any 172.16.0.0 0.0.255.255 eq tftp log
deny udp any 172.16.0.0 0.0.255.255 eq time log
deny udp any 172.16.0.0 0.0.255.255 eq who log
deny udp any 172.16.0.0 0.0.255.255 eq xdmcp log
permit tcp any host x.y.z.249
permit udp any host x.y.z.249
permit ip any host x.y.z.249
deny ip any any log
دستوراتي كه من براي راه اندازي logging وارد كردم و الان در running وجود داره:
logging 172.16.7.103
logging trap debug
service timestamp log datetime
logging on
اينم سطري كه من به access list اضافه كردم:
permit udp host x.y.z.2 host 172.16.7.103 eq syslog log
مشكل من فعلا log گيريه ولي به نظرم اين config روتر كه قبلا توسط شخص ديگه اي انجام شده مشكلاتي داره كه بايد به مرور رفع كنم.
متشكرم از همه راهنماييهاي اساتيد
منتظرم
[right] دوست عزیز اینطوری که من تو کانفیگ روترتون میبینم شما جلوی لوگ گیری رو برای این ای پی بستید [/right]
[right]شما باید اون اکسز لیستی که مربوط به این ای ÷ی هستش بردارید[/right]
ممكنه سطر يا سطوري كه logging رو بسته به من نشون بدين ؟
deny udp any 172.16.0.0 0.0.255.255 eq syslog log
در ضمن شما برای ip 172.16.0.0 تمام log ها رو بستید
neynef جان
اولا خيلي ممنونم. من جمله اولي كه deny syslog كرده بود رو انجام دادم. نميدونم چه جوري از زير دستم در رفته بود چون خيال ميكردم همه deny syslog ها رو قبلا برداشتم.
و اما در موردجمله دومت كه من درست متوجه نشدم ولي فكر كنم اشاره به همه دستورات deny ip داره من مشكلي توشون نميبينم چون syslog با پروتكل ip كاري نداره. بازم منتظر جوابتم.
شما داز چه پروتکل هایی می خواهید log بگیرید؟