-
packet های ورودی به روتر
سلام . من از دستور
[B]permit ip any host [I]my_ip_router [/I] log[/B]
که در access-list نوشته ام ( در ورودی اینترفیس سریال) لاگ می گیرم و پیغام های زیر را می بینم .لطفا بگیدآیا این غیر عادی است یا مشکلی نداره؟ ممنون
[CODE]
SEC-6-IPACCESSLOGP : list serial_in permited [I]tcp 217.219.---.---[/I] -> [I]my_router_ip[/I] 2 packets
[/CODE]
و به همین صورت ....
در ضمن ip ها هم چک کردم از isp هایی در دیگر استان ها می باشند. که متفاوتند
-
آیا من این مفهوم را درست فهمیدم یا اشتباه می کنم ؟
[I]در روتر هیچ packety عبور نمی کنه مگه اینکه در access-list اجازه عبور به آن را بدهیم[/I]
-
در روتر هیچ access-list وجود ندارد تا اینکه شما یک access-list تعریف کنی که در انتهای آن یک deny any any به شکل explicit قرار بگیره . در نتیجه ، در غیر ان صورت ترافیک عبوری از روتر کاملا اجازه عبور داره
-
ببینم وقتی یک access_list روی خروجی serial interface قرار می گیرد دقیقا به چه معناست . مثلا
permit icmp any any
روی out اینترفیس سریال چه کنترلی روی این نوع packet ها دارد؟
-
خوب مثلا اگر که شما همچنین چیزی داشتی باشی
[LEFT][LTR]
access-list 100 permit icmp any any
int serial 1/0
ip access-group 100 out
[/LTR]
[RIGHT]این به این معنی است که روتر بذاره که packet های icmp از روتر بره بیرون
[/RIGHT]
[/LEFT]
-
پس اگر بنویسیم
deny icmp any any
نباید از شبکه داخلی بتونبم بیرون را ping کنیم ولی از بیرون باید بتونیم روتر را ping کنیم؟
-
بله اگر که شما این رو به serial int out اختصاص بدی ، دیگه icmp از شبکه بیرون نمی ره
-
جناب شبکه کاران از اینکه وقت میذارید ممنون.
من اون کار را کردم ولی هم از تو روتر هم از تو شبکه داخلی به همه جا می تونم ping کنم .
در ضمن این خطوط در access-list به serial int نسبت داده شده اینها چه کمکی به امنیت شبکه می کنند؟
[LEFT][CODE]
30 permit udp any any eq 4672
90 permit udp any any eq 4899
100 permit udp any any eq 995
400 permit tcp any any eq 3000
410 permit tcp any any eq 3001
420 permit tcp any any eq 2513
430 permit tcp any any eq 2517
490 permit udp any any eq 4028
500 permit icmp any any
510 deny ip any any
[/CODE]
[/LEFT]
[RIGHT]همون کلیت مطلب کافیه و نیازی به توضیح تک تک نیست . ممنون[/RIGHT]
-
[RIGHT]اول اینکه شما لطف کنید و بگید که به in این access list اختصاص داده شده یا به out ؟
در ضمن شما در 500 permit icmp any any اومدید و icmp رو permit کرده . و اینکه اگر که شما فقط همین ها رو دارید اینترنت نباید داشته باشید
ابنها هم بیشتر به پورت نرم افزار های خاص است ، مثلا udp 4672 مربوط به emule و kad-network می شود.
پورت UDP port 4899 مربوط به Radmin است. پورت 995 مربوط به POP3 Over SSL/TLS می شه و ....
اگر که بتونی که config کامل تری بگذاری خیلی خوب می شه !
[/RIGHT]
-
اینها مربوط به out است .
نه لیست خیلی بیشتر از این هست من فقط می خوام بدونم مثلا اکر همون پورت مربوط به emule را deny کنم یعنی کاربران من دیگه نمی تونند از emule استفاده کنند ؟
در مورد icmp من deny کردم فرقی نکرد همه جا را می تونم ping کنم.