صفحه 1 از 3 1 2 3 آخرینآخرین
نمایش نتایج: از شماره 1 تا 15 از مجموع 31

موضوع: ipهای داخل lan از بیرون قابل دسترسی نیستن!!!

  
  1. #1


    عضو غیر فعال شناسه تصویری m_amini
    تاریخ عضویت
    Feb 2006
    محل سکونت
    Isfahan
    نوشته
    80
    سپاسگزاری شده
    0
    سپاسگزاری کرده
    1

    ipهای داخل lan از بیرون قابل دسترسی نیستن!!!

    مدتیه که این مشکل برام پیش اومده به این صورت که ip های داخل lan از بیرون قابل دسترسی نیستن
    به عنوان مثال ip وب سرور هست 4.x.x.x که dns server هم هست و به همین دلیل وب سایتم دیگه غیر از داخل isp هیچ جا بالا نمیاد حتی با ip
    حتی برای یوزر هام هم که داری valid ip (از 31 تا 61) هستن هم همین مشکل وجود داره
    اتفاقاتی که افتاده :
    -کش سرور با(آی پی 3.x.x.x) قبلا dns server هم بود که بنا به دلایلی دیگه نیست و همون وب سرور دی ان اس هم هست
    -سوییچ داخل lan مدتیه قاط زده مثلا باعث ایجاد ip conflict میشه که وقتی جای پورت ها رو عوض میکنم درست میشه
    - البته من خودم فکر کنم از access list روتر باشه
    اینم configروتره :
    (1.x.x.x :روتر
    2.x.x.x:سرور اکانتینگ
    3.x.x.x:کش سرور
    4.x.x.x:وب سرور
    30.x.x.x:وب سرور)

    Current configuration : 6348 bytes
    !
    version 12.1
    no service single-slot-reload-enable
    service timestamps debug uptime
    service timestamps log uptime
    service password-encryption
    !
    hostname Router
    !
    no boot startup-test
    logging rate-limit console 10 except errors
    logging console emergencies
    aaa new-model
    aaa authentication login default group radius local
    aaa authentication login console line
    aaa authentication login admin local
    aaa authentication ppp default group radius local
    aaa authorization exec default group radius
    aaa authorization exec admin local
    aaa accounting update newinfo
    aaa accounting exec default start-stop group radius
    aaa accounting network default start-stop group radius
    enable secret 5sd1$Ysdn$zKfd9sdQMkFsdWPwXVvGs.
    resource-pool disable
    facility-alarm detect controller E1 3/0
    facility-alarm detect modem-board 1
    !
    !
    !
    !
    !
    voice-fastpath enable
    ip subnet-zero
    ip rcmd rsh-enable
    ip rcmd remote-host SYSTEM x.x.x.2 SYSTEM enable
    ip flow-cache timeout active 1
    ip cef
    no ip finger
    ip domain-list avayejavan.com
    ip name-server x.x.x.30
    ip name-server 217.218.127.104
    ip name-server 217.218.155.104
    ip name-server 192.9.9.3
    ip name-server x.x.x.4
    !
    call rsvp-sync
    !
    voice service pots
    !
    voice service voip
    fax protocol t38 ls-redundancy 0 hs-redundancy 0
    h323 call start fast
    !
    !
    !
    !
    !
    fax interface-type modem
    mta receive maximum-recipients 0
    !
    !
    !
    controller E1 3/0
    framing NO-CRC4
    ds0-group 1 timeslots 1-15,17-31 type r2-digital
    !
    controller E1 3/1
    shutdown
    !
    !
    interface FastEthernet0/0
    ip address 192.168.0.254 255.255.0.0 secondary
    ip address x.x.x.1 255.255.255.192
    ip nat inside
    ip route-cache flow
    no ip mroute-cache
    duplex auto
    speed auto
    no cdp enable
    !
    interface FastEthernet0/1
    bandwidth 64
    ip address 10.0.0.1 255.255.255.0
    ip nat inside
    ip route-cache flow
    no ip mroute-cache
    shutdown
    duplex auto
    speed auto
    no cdp enable
    !
    interface Serial0/0
    ip unnumbered FastEthernet0/0
    ip access-group 110 in
    ip access-group 111 out
    ip nat outside
    encapsulation ppp
    ip route-cache flow
    no peer default ip address
    !
    interface Serial0/1
    no ip address
    shutdown
    clockrate 2000000
    !
    interface Group-Async0
    ip unnumbered FastEthernet0/0
    ip directed-broadcast
    encapsulation ppp
    ip route-cache flow
    ip tcp header-compression
    no ip mroute-cache
    ip policy route-map cache
    async mode interactive
    peer default ip address pool RAS1
    ppp authentication chap pap callin
    group-range 1/00 1/59
    !
    ip local pool RAS1 x.x.x.31 x.x.x.61
    ip nat inside source list 11 interface FastEthernet0/0 overload
    ip flow-export source FastEthernet0/0
    ip flow-export version 5
    ip flow-export destination x.x.x.2 9996
    ip flow-aggregation cache protocol-port
    cache entries 2046
    cache timeout inactive 45
    cache timeout active 1
    export destination x.x.x.2 9996
    enabled
    !
    ip classless
    ip route 0.0.0.0 0.0.0.0 Serial0/0
    no ip http server
    !
    !
    ip access-list extended cache
    deny tcp any any neq www
    deny tcp host x.x.x.3 any eq www
    permit tcp x.x.x.0 0.0.0.255 any eq www
    access-list 10 permit x.x.30.0 0.0.0.255
    access-list 11 permit 192.168.0.0 0.0.255.255
    access-list 11 permit x.x.x.0 0.0.0.255
    access-list 13 permit x.x.x.0 0.0.0.255
    access-list 15 permit x.x.x.2
    access-list 15 permit x.x.x.3
    access-list 101 permit tcp any any eq www
    access-list 110 deny udp any any eq netbios-ns
    access-list 110 deny udp any any eq netbios-dgm
    access-list 110 deny udp any any eq netbios-ss
    access-list 110 deny tcp any any eq 135
    access-list 110 deny udp any any eq 135
    access-list 110 deny tcp any any eq 137
    access-list 110 deny tcp any any eq 138
    access-list 110 deny tcp any any eq 139
    access-list 110 deny tcp any any eq 445
    access-list 110 deny udp any any eq 445
    access-list 110 deny tcp any any eq 4444
    access-list 110 deny tcp any any eq 593
    access-list 110 deny tcp any any eq 3127
    access-list 110 deny tcp any any eq 3198
    access-list 110 deny tcp any any eq 5554
    access-list 110 deny tcp any any eq 9996
    access-list 110 deny tcp any any eq 1034
    access-list 110 deny tcp any any eq 2745
    access-list 110 deny tcp any host 216.250.128.12
    access-list 110 permit udp host 195.219.180.14 any eq tftp
    access-list 110 deny udp any any eq tftp
    access-list 110 permit icmp any host 192.9.9.3 echo
    access-list 110 permit icmp any host 128.8.5.2 echo
    access-list 110 deny icmp any any echo
    access-list 110 permit ip any any
    access-list 110 deny udp host 195.219.180.14 any eq tftp
    access-list 110 permit ip any host x.x.x.5
    access-list 110 permit udp any any eq domain
    access-list 110 permit udp any eq domain any
    access-list 110 permit ip any host x.x.x.4
    access-list 110 permit tcp any host x.x.x.4 eq www
    access-list 111 permit ip any any
    access-list 111 permit ip any host x.x.x.3
    access-list 111 permit ip any host x.x.x.5
    access-list 111 permit ip any host x.x.x.4
    access-list 111 permit udp any any eq domain
    access-list 111 permit udp any eq domain any
    access-list 111 permit udp any eq domain host x.x.x.4 gt 1023
    access-list 111 permit udp any eq domain host x.x.x.4 eq domain
    access-list 111 permit tcp any host x.x.x.4 eq www
    access-list 111 permit tcp any host x.x.x.4 eq 443
    access-list 120 permit tcp x.x.x.0 0.0.0.61 any eq www
    route-map cache permit 11
    match ip address cache
    set ip default next-hop x.x.x.3
    !
    snmp-server community sAS2224 RW 15
    snmp-server ifindex persist
    !
    radius-server host x.x.x.2 auth-port 1645 acct-port 1646 key 7 011210050A5B
    56
    radius-server retransmit 3
    radius-server timeout 20
    radius-server key 7 ava100
    !
    voice-port 3/0:1
    !
    gateway
    !
    !
    line con 0
    password 7 063C002F494F0518171A
    login authentication console
    transport input pad telnet rlogin udptn v120 lapb-ta
    line aux 0
    autobaud
    line vty 0 4
    autobaud
    authorization exec admin
    login authentication admin
    no editing
    transport input pad telnet rlogin udptn v120 lapb-ta
    line 1/00 1/59
    no flush-at-activation
    autoselect during-login
    autoselect ppp
    modem Dialin
    modem autoconfigure discovery
    autocommand ppp
    transport input all
    !
    scheduler allocate 10000 400
    end
    آقای آریا گوهر من هنوزم منتظر راهنمایی و کمکتون هستم (امینی آوای جوان)


    پیشاپیش از همتون تشکر میکنم مخصوصا از آقای آریا گوهر




    موضوعات مشابه:
    ویرایش توسط m_amini : 2006-06-09 در ساعت 03:57 PM

  2. #2


    عضو غیر فعال شناسه تصویری m_amini
    تاریخ عضویت
    Feb 2006
    محل سکونت
    Isfahan
    نوشته
    80
    سپاسگزاری شده
    0
    سپاسگزاری کرده
    1
    آقا تو رو خدا یکی کمک کنه



  3. #3
    نام حقيقي: Reza ARYAGOHAR

    مدیر بازنشسته شناسه تصویری aryagohar
    تاریخ عضویت
    Jul 2003
    محل سکونت
    Sydney ,Australia
    نوشته
    3,056
    سپاسگزاری شده
    943
    سپاسگزاری کرده
    215
    اکسس لیست ها رو غیرفعال کن. خبرش رو بده.



  4. #4
    نام حقيقي: Iman Mansouri

    عضو غیر فعال شناسه تصویری shabake_karan
    تاریخ عضویت
    Apr 2006
    محل سکونت
    Tehran
    نوشته
    1,050
    سپاسگزاری شده
    369
    سپاسگزاری کرده
    12
    نقل قول نوشته اصلی توسط m_amini
    مدتیه که این مشکل برام پیش اومده به این صورت که ip های داخل lan از بیرون قابل دسترسی نیستن
    به عنوان مثال ip وب سرور هست 4.x.x.x که dns server هم هست و به همین دلیل وب سایتم دیگه غیر از داخل isp هیچ جا بالا نمیاد حتی با ip
    حتی برای یوزر هام هم که داری valid ip (از 31 تا 61) هستن هم همین مشکل وجود داره
    اتفاقاتی که افتاده :
    -کش سرور با(آی پی 3.x.x.x) قبلا dns server هم بود که بنا به دلایلی دیگه نیست و همون وب سرور دی ان اس هم هست
    -سوییچ داخل lan مدتیه قاط زده مثلا باعث ایجاد ip conflict میشه که وقتی جای پورت ها رو عوض میکنم درست میشه
    - البته من خودم فکر کنم از access list روتر باشه
    اینم configروتره :
    (1.x.x.x :روتر
    2.x.x.x:سرور اکانتینگ
    3.x.x.x:کش سرور
    4.x.x.x:وب سرور
    30.x.x.x:وب سرور)


    دوست عزیز ، متاسفانه توضیحات شما کمی گنگ است .به طور مثال :

    نقل قول نوشته اصلی توسط m_amini
    -کش سرور با(آی پی 3.x.x.x) قبلا dns server هم بود که بنا به دلایلی دیگه نیست و همون وب سرور دی ان اس هم هست
    3.x.x.x:کش سرور
    الان cache Serevr توی شبکه کیه ؟ IP اون چنده ؟ با این توضیحات شما اصلن cache نداری !


    نقل قول نوشته اصلی توسط m_amini
    به عنوان مثال ip وب سرور هست 4.x.x.x که dns server هم هست و به همین دلیل وب سایتم دیگه غیر از داخل isp هیچ جا بالا نمیاد حتی با ip
    .x.x.x.4:وب سرور
    30.x.x.x:وب سرور
    آقا این خیلی نا مفهموه ؟ اصلن این IP ها valide یا invalide چیه ؟ درست ننوشتی شما ؟

    لطقا یک توضیح درست بده ، این توضیحات اصلن مفهوم نیست !!!!!



  5. #5


    عضو غیر فعال شناسه تصویری m_amini
    تاریخ عضویت
    Feb 2006
    محل سکونت
    Isfahan
    نوشته
    80
    سپاسگزاری شده
    0
    سپاسگزاری کرده
    1
    قبل از هر چیز به خاطر توجهتون تشکر میکنم

    باید بگم که اولا همه ip هایی که با x نوشتم valid هستن
    و الان کش سرور هم دارم که ip اون 3.x.x.x هستش و قبلا علاوه بر کش dns server هم بود ولی الان dns server رو از روی اون برداشتیم و وب سرور(ویندوز) که آپیش 4.x.x.x هست به عنوان dns server هم عمل میکنه
    البته مشکل من اصلا فکر نکنم از dns باشه چون با آی پی هم نمیتونم سایت رو بیارم



  6. #6


    عضو غیر فعال شناسه تصویری m_amini
    تاریخ عضویت
    Feb 2006
    محل سکونت
    Isfahan
    نوشته
    80
    سپاسگزاری شده
    0
    سپاسگزاری کرده
    1
    access-list ها رو هم با دستور no ip access-group 110 in ,no ip access-group 111 out کلا برداشتم
    و روتر رو هم reload کردم اما بازم فایده نداره

    میخواستم ببینم نمیخواد یه کم منتظر بمونم تا access-list آپدیت بشه؟



  7. #7
    نام حقيقي: Reza ARYAGOHAR

    مدیر بازنشسته شناسه تصویری aryagohar
    تاریخ عضویت
    Jul 2003
    محل سکونت
    Sydney ,Australia
    نوشته
    3,056
    سپاسگزاری شده
    943
    سپاسگزاری کرده
    215
    تنظیتاتNAT کاملا نا مفهوم است و به طور کلی اشتباه.

    والا من نفهمیدم Cache با WEB یکیه یا 2 تا WEB سرور داری.

    البته من نمی دونم چرا تنظیماتت رو اینهمه شلوغ کردی. ممکنه این تنظیمات می شه توضیح هم بدی.

    اینجوری یک چیزی از ارتباطات داخل شبکه شما دستمون میاد.

    من هیچ وقت اینجوری config نمی کنم. شما به dialup آدرس معتبر میدی و داخل شبکه نامعتبر.

    شما توضیحاتت رو بده. ببنیم چیکار میشه کرد.

    موفق باشی.



  8. #8


    عضو غیر فعال شناسه تصویری m_amini
    تاریخ عضویت
    Feb 2006
    محل سکونت
    Isfahan
    نوشته
    80
    سپاسگزاری شده
    0
    سپاسگزاری کرده
    1
    cache با وب یکی نیست اما دو تا وب سرور دارم

    یکی با آی پی 4.x.x.x , یکی با آی پی 30.x.x.x که هر دو dns server هم هستن

    در مورد nat هم باید بگم که من 60 تا ip valid دارم که 30 تاش رو اینترفیس fast ethernet 0/0 هستش و آزاده 30 تاش هم دادم به user روی اینترفیس group async 0
    البته روی اینترفیس fast ethernet 0/0 یه رنج ip valid هم دارم که nat شده

    و اما در مورد به هم ریختگی config
    چند تا از IP valid آزادی که خدمتتون گفتم به شرح زیر ازشون استفاده میکنم
    1.x.x.x ----->روتر
    2.x.x.x ----->سرور اکانتینگ
    3.x.x.x ----->کش سرور
    4.x.x.x ----->وب سرور و دی ان اس سرور
    30.x.x.x ----->وب سرور و دی ان اس سرور

    علت اینکه دو تا وب سرور دارم اینه که به غیر از سایت خودمون یه لینک وایرلس هم به یه کارخونه دادیم که اونا هم خودشون هاست و dns server هستن به همین دلیل مجبور شدیم بهشون( ip valid (x.x.x.30 بدیم

    حالا مشکل اینجاست که هیچ کدوم از این دو تا سایت خارج از رنج (1.x.x.x تا 60.x.x.x) بالا نمیاد



  9. #9


    عضو غیر فعال شناسه تصویری m_amini
    تاریخ عضویت
    Feb 2006
    محل سکونت
    Isfahan
    نوشته
    80
    سپاسگزاری شده
    0
    سپاسگزاری کرده
    1
    آقا switch رو هم عوض کردیم فایده نداشت
    آقا یکی به دادمون برسه بیچاره شدیم رفت



  10. #10


    عضو عادی شناسه تصویری vahsha1
    تاریخ عضویت
    Oct 2005
    نوشته
    916
    سپاسگزاری شده
    208
    سپاسگزاری کرده
    83

    با سلام

    دوست عزیز توضیحاتت بران گنگه و کانفیگت رو خیلی شلوغ کردی
    در صورتی که میشد خیلی ساده تر انجام داد.
    نت هم کلا کانفیگش رو روتر اشتباه است.
    در ضمن شما فرمودید مدتی است اینجوری شده.
    طی این مدت چه تغییری تو سیستم دادید و یا خود به خود اینطورشد.؟



  11. #11
    نام حقيقي: امید مهاجرانی

    عضو عادی
    تاریخ عضویت
    Dec 2005
    محل سکونت
    Tehran
    نوشته
    782
    سپاسگزاری شده
    725
    سپاسگزاری کرده
    79
    نقل قول نوشته اصلی توسط vahsha1
    در صورتی که میشد خیلی ساده تر انجام داد.
    نت هم کلا کانفیگش رو روتر اشتباه است.
    در ضمن شما فرمودید مدتی است اینجوری شده.
    طی این مدت چه تغییری تو سیستم دادید و یا خود به خود اینطورشد.؟
    برای یوزرهای دایل آپ که نت نکردن . برا fastethernet هم که مشکلی نداره . میشه بیشتر توضیح بدین؟ مشکل نت در این کانفیگ چیه؟
    اگر خودش . اینطور شده باشه مشکل از کجاست؟اصلا همچین چیزی امکان داره؟



  12. #12


    عضو عادی شناسه تصویری vahsha1
    تاریخ عضویت
    Oct 2005
    نوشته
    916
    سپاسگزاری شده
    208
    سپاسگزاری کرده
    83

    با سلام

    دوست عزیز بارز ترین مشکل نتش که به راحتی میشه تشخیص داد اینه که رو interface که ip اون unnumber شده نمی شه نت رو out sid کرد
    interface Serial0/0
    ip unnumbered FastEthernet0/0
    ip access-group 110 in
    ip access-group 111 out
    ip nat outside
    encapsulation ppp
    ip route-cache flow
    no peer default ip address
    و نتی که از جایی outsid نشه کار نمی کنه.
    در ضمن من منتظر پاسخم تا نظرم رو بگم
    نظر کلی من اینه که routing مشکل داره و حالا کجاش باید ...


    ویرایش توسط vahsha1 : 2006-06-13 در ساعت 12:36 AM

  13. #13
    نام حقيقي: امید مهاجرانی

    عضو عادی
    تاریخ عضویت
    Dec 2005
    محل سکونت
    Tehran
    نوشته
    782
    سپاسگزاری شده
    725
    سپاسگزاری کرده
    79
    از توجهتون ممنونم. اینکه گفتم " اگر خودش . اینطور شده باشه مشکل از کجاست؟اصلا همچین چیزی امکان داره؟" واسه اینکه ما این موضوع رو نمیدونیم .یعنی نمیدونیم دقیقا کی این مشکلو و برا چی این مشکلو پیدا کردیم . ولی مطمنیم مشکل از کش یا سرورامون نیست.

    بازم از توجهتون سپاسگزارم.



  14. #14
    نام حقيقي: Iman Mansouri

    عضو غیر فعال شناسه تصویری shabake_karan
    تاریخ عضویت
    Apr 2006
    محل سکونت
    Tehran
    نوشته
    1,050
    سپاسگزاری شده
    369
    سپاسگزاری کرده
    12
    دوستان عزیز ، این نکته راتوجه کنید که این config مدت زیادی کار می کرده ، پس config درسته . نمی شود به این فرامین خدشه وارد کرد. مشکل این سیستم این هست که دیگه به هیچ وجه حتی از بیرون هم ping نمی شود ، هیچ کدام از IP valid ها ( البته حتی بعد از برداشتن ACL ) . دلیل اینکه از بیرون هم دیده نمی شود این است که نه name resolution انجام می شود و نه حتی IP رو میشود دید .!!!!



  15. #15
    نام حقيقي: Reza ARYAGOHAR

    مدیر بازنشسته شناسه تصویری aryagohar
    تاریخ عضویت
    Jul 2003
    محل سکونت
    Sydney ,Australia
    نوشته
    3,056
    سپاسگزاری شده
    943
    سپاسگزاری کرده
    215
    شما Net flow دارید.

    اگه نه؟ چرا دستورات اون تو Config هست

    من هم معتقدم که config مشکل داره. شما دوباره AS رو config کن بدون هیچ rule و حتی cache هم داخل مدار نباشه.
    بعد کم کم تنظیماتت رو برو جلو.



صفحه 1 از 3 1 2 3 آخرینآخرین

کلمات کلیدی در جستجوها:

xxxرويتر

xxx@‎داخل

XXXسورو

برای چند IP ACL

xxxسرور

پورت netflow چنده؟

SNMP 10.0.0.1

برچسب برای این موضوع

مجوز های ارسال و ویرایش

  • شما نمی توانید موضوع جدید ارسال کنید
  • شما نمی توانید به پست ها پاسخ دهید
  • شما نمی توانید فایل پیوست ضمیمه کنید
  • شما نمی توانید پست های خود را ویرایش کنید
  •