مشکلات من با اکسس لیست همچنان ادامه دارد

[th95]

خوب
بازم سلام به جناب افضلان عزیز و سایر دوستان
فعلا من بدون فایروال و با استفاده از اکسس لیست کارم رو اینجوری راه انداختم
ممنون میشم این اکسس لیست رو چک کنید و به چند تا سوال من هم جواب بدید
مراحل رو کامل نوشتم شاید به درد دوستان دیگه هم بخوره

قضیه این شکلی بود
دسترسی همه یوزرها بهPri. DC و Add. DC به آدرس های 172.16.20.1 و 172.16.30.39 (که چون بچه ها با پورتهای مختلف به مشکل خورده بودند فعلا همه رو باز گذاشتم)
دسترسی همه یوزرها به سایت شیرپیونت و اتوماسیون تحت وب به آدرسهای 172.16.20.3 و 172.16.20.7
دسترسی یوزرهای بخش مالی VLAN 128 به همکاران سیستم با آدرس 172.16.20.2 (که ظاهرا با پورت SQL یعنی 1433 کار میکنه و یه پورت دیگه که نمیدونم چیه 445 )
دسترسی یوزرها به همکارانشون (هم وی لنی خودشون)
عدم دسترسی یوزرها به ملت در وی لن های دیگه


خوب ! من وی لن مالی یعنی 128 رو برای تست انتخاب و این اکسس لیست رو به صورت InBound روش اعمال کردم

ip access-list extended Mali_ACL

10 permit ip any host 172.16.20.1
20 permit ip any host 172.16.30.39
30 permit tcp any host 172.16.20.7 eq www
30 permit tcp any host 172.16.20.3 eq www
40 permit udp any eq bootpc any eq bootps
50 permit tcp any host 172.16.20.2 eq 1433
60 permit tcp any host 172.16.20.2 eq 445

int vlan 128
ip access-group Mali_ACL in

خوب
اینجا یه مشکلی پیش اومد و اون اینکه دسترسی سرورها هم به مالی ها قطع شد
همچنین دسترسی سرور مونیتورینگ به آدرس 172.16.30.30 بنابراین کلاینتهای این بخش رو نمیدید و میگفت مردن

با توجه به صحبتهایی که با دوستان داشتم فهمیدم که اکسس لیست مثل فایروال نیست و باید دو طرفه تعریف بشه بنابراین گفتم :

70
permit tcp any 172.16.0.0 0.0.255.255

بعد دیدم هنوز سرور مونیتورینگ مشکل داره ! فهمیدم که اون بنده خدا از پینگ میفهمه ملت زندن یا نه و پینگ جزو ICMP هستش بنابراین اضافه کردم

80
permit icmp any 172.16.0.0 0.0.255.255 eq echo-reply

حضور شما عرض شود که اوضاع خوب بود و مشکلات برطرف شده بود
فقط ملت vlan های دیگه رو نمیدیدند و این بد بود چون هنوز سرور شیرنگ رو راه ننداختم. بنابراین فعلا باید به هم دسترسی داشته باشند/ گفتم اکی پس این رو هم داشته باش (اینجا بود که از تعریف رنج ای پی که انجام داده بودم لذت بردم)

90
permit ip any 192.168.32.0 0.0.0.31

خوب به قول انگلیسی ها دیدیم که everything works like a charm

اما احساس کردم این قضیه خیلی بهبودها باید توش انجام بشه
بنابراین :

بریم پست بعدی ! این خیلی زیاد و شلوغ شد

[th95]

خوب تا اینجا پس این رو داشتم :

10permit ip any host 172.16.20.1
20 permit ip any host 172.16.30.39
30 permit tcp any host 172.16.20.7 eq www
30 permit tcp any host 172.16.20.3 eq www
40 permit udp any eq bootpc any eq bootps
50 permit tcp any host 172.16.20.2 eq 1433
60 permit tcp any host 172.16.20.2 eq 445
70 permit tcp any 172.16.0.0 0.0.255.255
80 permit icmp any 172.16.0.0 0.0.255.255 eq echo-reply
90permit ip any 192.168.32.0 0.0.0.31

اول از همه رفتم سراغ یکی کردن دو خط مربوط به همکاران سیستم چون همه چیز غیر از پورتهای مقصد یکی بود بنابراین خطهای 50 و 60 ادغام شدند

permit tcp any host 172.16.20.2 eq 1433 445

بعد رفتم سراغ خط 70 چون خیلی نگرانم میکرد. یعنی چی که کلاینتها به سرورها با هر پورتی دسترسی داشته باشند (این رو نوشته بودم چون هر بار سرور با یه پورت رندم به کلاینت وصل میشه)
گفتم خوب ! از سرور چطوری به کلاینت وصل میشم با \\ و اینکه پینگ اش کنم (ریموت کلا تو شبکه بنا به دلایلی بسته است). خوب پس سرور با یه پورت بزرگتر از 1023 وصل میشه به شیر سرور و جواب از اونجا برمیگرده ! پس جواب کلاینت از پورت 445 هست به یه پورت بزرگتر از 1023 سرور ! بنابراین خط زیر جایگزین 70 شد

permit tcp any eq 445 172.16.0.0 0.0.255.255 gt 1023

بعد دیم از روی سرورها بد نیست پینگ رو هم داشته باشیم پس خط زیر رو نگه داشتم

permit icmp any 172.16.0.0 0.0.255.255 echo-reply

(حالا مشکل سرور مونیتورینگ هم حل شده بود)

رفتم سراغ خط 90 ! خیلی ضایع بود. کلاینتها به هم با هر پورتی ! چه معنی داره ! اونها با شیر هم وصل میشن یا به پرینترهای هم (که ظاهرا هر دو پورتش tcp 445 هستش) بنابراین خط آخر اینگونه اصلاح شد

permit tcp any 192.168.32.0 0.0.31.255 eq 445

اوضاع خیلی بهتر شده بود. بعد رفتم سراغ سه خط مربوط به سرورها ! به سه سرور با پورت 80 ؟ به 172.16.20.1 که DC هست همه دسترسی رو دارند. مالی همکاران هم که وب نداره ! 172.16.20.5 و 172.16.20.4 هم که ندارم. بنابراین باید بشه یه سوپرنت خوشگل کشید بیرون

بنابراین سه خط رو خلاصه کردم به

permit tcp any 172.16.0 0.0.0.7 eq www

و نهایتا رسیدم به این لیست که فکر کنم نسبت به اولی خیلی بهتر شده بود

10permit ip any host 172.16.20.1
20 permit ip any host 172.16.30.39
30 permit udp any eq bootpc any eq bootps log
40 permit tcp any host 172.16.20.2 eq 1433 445
50 permit tcp any eq 445 172.16.0.0 0.0.255.255 gt 1023
55 permit icmp any 172.16.0.0 0.0.255.255 echo-reply
60 permit tcp any 172.16.20.0 0.0.0.7 eq www
90 permit tcp any 192.168.32.0 0.0.31.255 eq 445

و حالا سوالات من
1- اون خط 30 رو نمیشه یه فکری کرد. سرور DHCP من روی سوییچ 192.168.200.254 هستش ولی وقتی به جای any در مقصد این رو دادم به دیوار خورد و کلاینتها ای پی نمیگرفتند (که فکر کنم طبیعیه. پکتهای DHCP براد کست میشن و به آدرس 255.255.255.255 میرن بنابراین نمیشه به جای any آدرس سرور DHCP رو گذاشت) ولی خوب این قضیه چندان جالی نیست که کلاینتها بتونند از هر جا ای پی بگیرند. راهی داریم ؟؟

2- من فقط پورت TCP 445 رو باز گذاشتم (بین کلاینتها) و مشکلی در اتصال به هم و پرینترهای هم نداشتند. اما یادمه که جناب افضلان فرموده بودند این پورت فقط نیست و باید چند تا دیگه هم باز بشه (من حتی udp اش رو هم باز نکرد) ممکنه جایی مشکل پیش بیاد ؟

3- یه سوال یه ذره بی ربط. اگر یک کلاینت مالی بره آدرس کارت شبکه خودش رو تغییر بده و آدرسی از رنج و با گیت وی اداری )int vlan اداری) بده چه اتفاقی میفته ! مثلا حالا میخواد به یه سسیتم اداری وصل بشه ! من که فکر میکنم اصلا نباید گیت وی رو ببینه ولی خوب از اونطرف میگم رو سوییچ core روتینگ هست و .. !!1 ممنون میشم در مورد پکتهای این بنده خدا توضیحاتی بفرمایید

با تشکر و ممنون از همه

[aliafzalan]

سلام
ماشالا، شما خسته نشدی این همه تایپ کردی

1- اون خط 30 رو نمیشه یه فکری کرد. سرور DHCP من روی سوییچ 192.168.200.254 هستش ولی وقتی به جای any در مقصد این رو دادم به دیوار خورد و کلاینتها ای پی نمیگرفتند (که فکر کنم طبیعیه. پکتهای DHCP براد کست میشن و به آدرس 255.255.255.255 میرن بنابراین نمیشه به جای any آدرس سرور DHCP رو گذاشت) ولی خوب این قضیه چندان جالی نیست که کلاینتها بتونند از هر جا ای پی بگیرند. راهی داریم ؟؟

Catalyst 4500 Series Switch Cisco IOS Software Configuration Guide, 12.1(13)EW - Understanding and Configuring DHCP Snooping

2- من فقط پورت TCP 445 رو باز گذاشتم (بین کلاینتها) و مشکلی در اتصال به هم و پرینترهای هم نداشتند. اما یادمه که جناب افضلان فرموده بودند این پورت فقط نیست و باید چند تا دیگه هم باز بشه (من حتی udp اش رو هم باز نکرد) ممکنه جایی مشکل پیش بیاد ؟

ولی تا اونجایی که من یادمه شما گفتید به پورتهای دیگه ای هم نیاز هست، تازه اسنادش هم موجوده !!
این هم لینک مربوطه: مشکلات من با اکسس لیست همچنان ادامه دارد
اگه روزی روزگاری مشکلی پیش اومد میتونید بقیه پورتهایی که توی لینک بالا نوشتید رو باز کنید.

3- یه سوال یه ذره بی ربط. اگر یک کلاینت مالی بره آدرس کارت شبکه خودش رو تغییر بده و آدرسی از رنج و با گیت وی اداری )int vlan اداری) بده چه اتفاقی میفته ! مثلا حالا میخواد به یه سسیتم اداری وصل بشه ! من که فکر میکنم اصلا نباید گیت وی رو ببینه ولی خوب از اونطرف میگم رو سوییچ core روتینگ هست و .. !! ممنون میشم در مورد پکتهای این بنده خدا توضیحاتی بفرمایید

ببینید وقتی یه سیستم بخواهد بسته ای رو به یک شبکه دیگه بفرسته این اتفاق میافته:
فرض کنید IP سیستم 192.168.1.5 و gateway اون 192.168.1.1 باشه.
سیستم یه بسته توی شبکه Broadcast میکنه و میپرسه:هر کی IP اون 192.168.1.1 هست MAC آدرسش رو برای من بفرسته.
تمامی سیستمهای توی شبکه (که Gateway هم جزء اونها حساب میشه) بسته رو دریافت می کنند، ولی فقط Gateway جواب میده میگه من هستم، این هم MAC من !
سیستم یه بسته دیگه ساخته MAC خودش و Gateway و IP خودش و مقصد رو قرار میده و بسته رو به Gateway میفرسته.
حالا توی سوال شما.
فرض کنید که Gateway VLAN 2 = 192.168.1.1 هست و یک کاربری (توی بخش منابع انسانی) بیاد آدرسش رو عوض کنه و بزاره توی VLAN مالی با آدرس 172.16.1.6 و Gateway=172.16.1.1
حالا وقتی کاربر می خواهد بسته رو به بیرون شبکه خودش بفرسته مجبوره بپرسه 172.16.1.1 کیه؟
و از اونجایی که این پیغام از VLAN 2 هیچ وقت خارج نمیشه و به دست 172.16.1.1 نمیرسه، این بسته هیچ وقت به مقصد نمیرسه، چون Gateway خودش رو نمیبینه.

[th95]

ماشالا، شما خسته نشدی این همه تایپ کردی

سلام
وا.. چرا ولی خوب به نظرم این کاریه که همه باید بکنند یعنی دقیق بگن مشکل چی بوده و چیکار کردن که به نتیجه رسیدن. ضمنا این که فقط راه حل رو بگیم کمکی به درک مفاهیم نمیکنه ! من انچه تو ذهنم گذشت رو گفتم شاید به درد بقیه هم بخوره (البته برای شما که خاطره بود از 10 سال پیشتون گفتم شاید چند نفر باشن مثل من آماتور و به کارشون بیاد)

در مورد DHCP Snooping

من این رو روی سوییچ ها راه انداختم. فقط یادتون باشه یه سوال در مورد دیتابیسش کرده بودم که کسی جواب نداد. گفتم شاید اکسس لیستش رو هم بشه بهتر کرد. یکی گفته بود بجای any بزن 255.255.255.255 ولی مگه این برادکست نیست ؟ این رو هم بزنیم به همه جا میره دیگه درسته ؟

ولی تا اونجایی که من یادمه شما گفتید به پورتهای دیگه ای هم نیاز هست، تازه اسنادش هم موجوده !!
این هم لینک مربوطه: مشکلات من با اکسس لیست همچنان ادامه دارد
اگه روزی روزگاری مشکلی پیش اومد میتونید بقیه پورتهایی که توی لینک بالا نوشتید رو باز کنید.

بله شما گفتید چند تا پورته منم با سرچ به اونها رسیدم ولی وقتی netstat گرفتم دیدم فقط همین TCP 445 هستش ! همین رو گذاشتم و فعلا مشکلی ندیدم. گفتم شاید دوستان تجربه گیر کردن به خاطر بقیه اون پورت ها رو داشته باشن

و از اونجایی که این پیغام از VLAN 2 هیچ وقت خارج نمیشه و به دست 172.16.1.1 نمیرسه، این بسته هیچ وقت به مقصد نمیرسه، چون Gateway خودش رو نمیبینه.

من هم دقیقا همین تو ذهنم بود. یعنی اصلا DG رو که الکی ست کرده نمیبینه که بخواد ...

بسیار ممنونم از وقتی که میذارید