با سلام خدمت همه دوستا عزيز
يک سوال داشتم من مي خوام از يه دستگاه که از پورتهاي 500 تا 505 و 550 تا 555 استفاده ميکنه تو شبکه ام استفاده کنم مي خواستم بدونم چطوري ميتونم اين پورتها رو روي روتر 1700 باز کنم ممنون ميشم دستورات رو کامل بنويسيد
Printable View
با سلام خدمت همه دوستا عزيز
يک سوال داشتم من مي خوام از يه دستگاه که از پورتهاي 500 تا 505 و 550 تا 555 استفاده ميکنه تو شبکه ام استفاده کنم مي خواستم بدونم چطوري ميتونم اين پورتها رو روي روتر 1700 باز کنم ممنون ميشم دستورات رو کامل بنويسيد
يعني يک نفر پيدا نميشه که به سوال من پاسخ بده
واقعا از اين فروم جاي تعجبه !!!!
درود !
عزیزمن فکر کنم با ساختن ACL این کار امکانپذیر باشه .
موفق باشید... .
نباید با روتر های دیگه تفاوتی داشته باشه... در انجمن هم اگه جستجو کرده بودید سریعتر به جوابتون میرسیدید و لازم نبود بفرمایید :
[QUOTE=salamesabz;171281]يعني يک نفر پيدا نميشه که به سوال من پاسخ بده
واقعا از اين فروم جاي تعجبه !!!![/QUOTE]
تا ما هم بگیم واقعا از شما که ثبت نام Aug2005 هستید بعیده که بدون جستجو تاپیک بزنید . . .
[quote=M-r-r;171288]نباید با روتر های دیگه تفاوتی داشته باشه... در انجمن هم اگه جستجو کرده بودید سریعتر به جوابتون میرسیدید و لازم نبود بفرمایید :
تا ما هم بگیم واقعا از شما که ثبت نام Aug2005 هستید بعیده که بدون جستجو تاپیک بزنید . . .[/quote]
درسته دوست عزيز ولي اگه يه نگاهي به تاپيکهاي من بندازين خواهين ديد که 5 يا 6 تاپيک از سال 2005 بيشتر ندارم وحتما جستجو کردم ولي به نتيجه اي نرسيدم من تنها چيزي که پيدا کردم نحوه بستن پورتها بود و هيچ جايي نحوه باز کردن پورتها را توضيح نداده بودن حالا اگه شما مطمئني که قبلا اين تاپيک بحث شده لطفا لينک تاپيک رو بزارين
من که نتونستم پيدا کنم ؟؟؟
با ACL میتونید این کار رو انجام بدید
[COLOR=black][FONT=Courier New][B]access-list[/B] [I]access-list-number[/I] [[B]dynamic[/B] [I]dynamic-name[/I] [[B]timeout[/B] [I]minutes[/I]]] {[B]deny | permit | remark[/B] [I]line[/I] } [I]protocol source source-wildcard destination destination-wildcard[/I] [[B]precedence[/B] [I]precedence[/I]] [[B]tos[/B] [I]tos[/I]] [[B]log[/B] | [B]log-input[/B]][[B]time-range[/B] [I]name[/I]][/FONT]
[/COLOR]
درسته در این مورد شاید بحث نشده باشه، اما اگه به دستورات دقت کرده باشید در ابتدای دستور برای بستن یک پورت مشخص، از کلمه deny استفاده شده . خوب، اگه متضاد اون رو به خاطر داشته باشید، میتونید از اون استفاده کنید، حتی اگه اون رو هم بخاطر ندارید، میتونید سری به آدرس های IP ای بزنید که دسترسی رو برای اونها باز گذاشته اید، کلمه ای که مورد نظرم هست، permit هست .
خوب،
در ابتدای اون دستور، برای باز گذاشتن دسترسی برای اون پورت مشخص، کلمه permit رو بنویسید .
اگه وارد بخش کانفیگ روترتون بشین، و از اونجا وارد تنظیمات فایروال (بخش پورت ها) بشین، (یعنی ip access-list extended firewall) حالا اگه یه علامت سوال(؟) وارد کنید، شرح دستورات رو خواهید دید؛
[LEFT]Green(config-ext-nacl)#?
Ext Access List configuration commands:
default Set a command to its defaults
deny Specify packets to reject
dynamic Specify a DYNAMIC list of PERMITs or DENYs
evaluate Evaluate an access list
exit Exit from access-list configuration mode
no Negate a command or set its defaults
permit Specify packets to forward
remark Access list entry comment
[/LEFT]
همونطور که میبینید یکی از دستورات Permit هست . زیر فرامین این دستور هم به شرح زیر هست :
[LEFT]
Green(config-ext-nacl)#permit ?
<0-255> An IP protocol number
ahp Authentication Header Protocol
eigrp Cisco's EIGRP routing protocol
esp Encapsulation Security Payload
gre Cisco's GRE tunneling
icmp Internet Control Message Protocol
igmp Internet Gateway Message Protocol
igrp Cisco's IGRP routing protocol
ip Any Internet Protocol
ipinip IP in IP tunneling
nos KA9Q NOS compatible IP over IP tunneling
ospf OSPF routing protocol
pcp Payload Compression Protocol
pim Protocol Independent Multicast
tcp Transmission Control Protocol
udp User Datagram Protocol
[/LEFT]
زیر دستورات مربوط به دستور Deny رو هم میتونید اینحا ببینید :
[LEFT]Green(config-ext-nacl)#deny ?
<0-255> An IP protocol number
ahp Authentication Header Protocol
eigrp Cisco's EIGRP routing protocol
esp Encapsulation Security Payload
gre Cisco's GRE tunneling
icmp Internet Control Message Protocol
igmp Internet Gateway Message Protocol
igrp Cisco's IGRP routing protocol
ip Any Internet Protocol
ipinip IP in IP tunneling
nos KA9Q NOS compatible IP over IP tunneling
ospf OSPF routing protocol
pcp Payload Compression Protocol
pim Protocol Independent Multicast
tcp Transmission Control Protocol
udp User Datagram Protocol
[/LEFT]
که در مقایسه ی این دو زیر دستور و توابع اونها متوجه میشید که تفاوتی وجود نداره، به این معنی که استفاده از هر دو مدل دستور به یک صورت است، با این تفاوت که نتیجه ای معکوس خواهد داشت (Deny برای بستن و Permit برای باز کردن) .
بله در این مورد حق با شما بود، تاپیکی در این خصوص ایجاد نشده بود و بنده بدلیل نوشته ام از شما عذر خواهی میکنم .
شاد پیروز و سربلند و موفق باشید .
[quote=salamesabz;171310]درسته دوست عزيز ولي اگه يه نگاهي به تاپيکهاي من بندازين خواهين ديد که 5 يا 6 تاپيک از سال 2005 بيشتر ندارم وحتما جستجو کردم ولي به نتيجه اي نرسيدم من تنها چيزي که پيدا کردم نحوه بستن پورتها بود و هيچ جايي نحوه باز کردن پورتها را توضيح نداده بودن حالا اگه شما مطمئني که قبلا اين تاپيک بحث شده لطفا لينک تاپيک رو بزارين
من که نتونستم پيدا کنم ؟؟؟[/quote]
دوست عزیز:
معمولا همه ابتدا پورت های مورد نظرشون رو می بندن و بعد تمامی پورت ها روباز می زان و یا بهشون Permit می دن .
[quote=matrixco.sec;171337]دوست عزیز:
معمولا همه ابتدا پورت های مورد نظرشون رو می بندن و بعد تمامی پورت ها روباز می زان و یا بهشون Permit می دن .[/quote]
در اصطلاح می گن که ACL ها از Most Restrictive به Least Restrictive نوشته می شوند و شما اول باید همه رو ببندی و به صورت on-demand باز کنی
[quote=shabake_karan;171349]در اصطلاح می گن که ACL ها از Most Restrictive به Least Restrictive نوشته می شوند و شما اول باید همه رو ببندی و به صورت on-demand باز کنی[/quote]
من تمامي راههايي که دوستان گفتند رو انجام دادم ولي پورتهاي مورد نظر من باز نشدند و وقتي با برنامه پورت اسکنر اسکن مي کنم ميگه پورتها بسته است شايد من دستورات رو اشتباه يا در جاي نا مناسب گذاشتم لطفا اگه ميشه دستورات رو کامل بزارين ؟
چطوري ميتونم on-demand فعال بکنم لطفا بيشتر توضيح بدين
شما یه کاری کن.
هر چی access list داری پاک کن. ببین مشکلت حل میشه یا نه.
بعد بسته به نوع استفاده شبکت بیا پورتها رو تک تک ببند.
برای پاک کردن هم آماتوری ترین و ساده ترین راه اینه که یه show run بگیری هر چی access list میبینی یه no اولش بزار و تایپش کن و بزن اینتر. البته توی محیط config terminal. یعنی قبلش بزن conf t و بعد دستوراتو با یه no قبلش وارد کن.
no فقط برای آخرین دستور ACL بذارید کافیه