packet های ورودی به روتر

Printable View

2007-08-13, 04:11 PM
davood_mir

packet های ورودی به روتر

سلام . من از دستور

[B]permit ip any host [I]my_ip_router [/I] log[/B]

که در access-list نوشته ام ( در ورودی اینترفیس سریال) لاگ می گیرم و پیغام های زیر را می بینم .لطفا بگیدآیا این غیر عادی است یا مشکلی نداره؟ ممنون

[CODE]
SEC-6-IPACCESSLOGP : list serial_in permited [I]tcp 217.219.---.---[/I] -> [I]my_router_ip[/I] 2 packets
[/CODE]
و به همین صورت ....
در ضمن ip ها هم چک کردم از isp هایی در دیگر استان ها می باشند. که متفاوتند
2007-08-14, 10:06 PM
davood_mir

آیا من این مفهوم را درست فهمیدم یا اشتباه می کنم ؟

[I]در روتر هیچ packety عبور نمی کنه مگه اینکه در access-list اجازه عبور به آن را بدهیم[/I]
2007-08-16, 09:39 PM
shabake_karan

در روتر هیچ access-list وجود ندارد تا اینکه شما یک access-list تعریف کنی که در انتهای آن یک deny any any به شکل explicit قرار بگیره . در نتیجه ، در غیر ان صورت ترافیک عبوری از روتر کاملا اجازه عبور داره
2007-08-16, 10:11 PM
davood_mir

ببینم وقتی یک access_list روی خروجی serial interface قرار می گیرد دقیقا به چه معناست . مثلا

permit icmp any any

روی out اینترفیس سریال چه کنترلی روی این نوع packet ها دارد؟
2007-08-16, 10:25 PM
shabake_karan

خوب مثلا اگر که شما همچنین چیزی داشتی باشی

[LEFT][LTR]
access-list 100 permit icmp any any
int serial 1/0
ip access-group 100 out

[/LTR]
[RIGHT]این به این معنی است که روتر بذاره که packet های icmp از روتر بره بیرون
[/RIGHT]
[/LEFT]
2007-08-17, 07:57 AM
davood_mir

پس اگر بنویسیم

deny icmp any any

نباید از شبکه داخلی بتونبم بیرون را ping کنیم ولی از بیرون باید بتونیم روتر را ping کنیم؟
2007-08-17, 01:23 PM
shabake_karan

بله اگر که شما این رو به serial int out اختصاص بدی ، دیگه icmp از شبکه بیرون نمی ره
2007-08-17, 04:22 PM
davood_mir

جناب شبکه کاران از اینکه وقت میذارید ممنون.
من اون کار را کردم ولی هم از تو روتر هم از تو شبکه داخلی به همه جا می تونم ping کنم .

در ضمن این خطوط در access-list به serial int نسبت داده شده اینها چه کمکی به امنیت شبکه می کنند؟

[LEFT][CODE]

30 permit udp any any eq 4672
90 permit udp any any eq 4899
100 permit udp any any eq 995
400 permit tcp any any eq 3000
410 permit tcp any any eq 3001
420 permit tcp any any eq 2513
430 permit tcp any any eq 2517
490 permit udp any any eq 4028
500 permit icmp any any
510 deny ip any any

[/CODE]
[/LEFT]
[RIGHT]همون کلیت مطلب کافیه و نیازی به توضیح تک تک نیست . ممنون[/RIGHT]
2007-08-17, 04:51 PM
shabake_karan

[RIGHT]اول اینکه شما لطف کنید و بگید که به in این access list اختصاص داده شده یا به out ؟

در ضمن شما در 500 permit icmp any any اومدید و icmp رو permit کرده . و اینکه اگر که شما فقط همین ها رو دارید اینترنت نباید داشته باشید
ابنها هم بیشتر به پورت نرم افزار های خاص است ، مثلا udp 4672 مربوط به emule و kad-network می شود.
پورت UDP port 4899 مربوط به Radmin است. پورت 995 مربوط به POP3 Over SSL/TLS می شه و ....

اگر که بتونی که config کامل تری بگذاری خیلی خوب می شه !
[/RIGHT]
2007-08-17, 09:08 PM
davood_mir

اینها مربوط به out است .
نه لیست خیلی بیشتر از این هست من فقط می خوام بدونم مثلا اکر همون پورت مربوط به emule را deny کنم یعنی کاربران من دیگه نمی تونند از emule استفاده کنند ؟
در مورد icmp من deny کردم فرقی نکرد همه جا را می تونم ping کنم.