خوب تا اینجا پس این رو داشتم :
10permit ip any host 172.16.20.1
20 permit ip any host 172.16.30.39
30 permit tcp any host 172.16.20.7 eq www
30 permit tcp any host 172.16.20.3 eq www
40 permit udp any eq bootpc any eq bootps
50 permit tcp any host 172.16.20.2 eq 1433
60 permit tcp any host 172.16.20.2 eq 445
70 permit tcp any 172.16.0.0 0.0.255.255
80 permit icmp any 172.16.0.0 0.0.255.255 eq echo-reply
90permit ip any 192.168.32.0 0.0.0.31
اول از همه رفتم سراغ یکی کردن دو خط مربوط به همکاران سیستم چون همه چیز غیر از پورتهای مقصد یکی بود بنابراین خطهای 50 و 60 ادغام شدند
permit tcp any host 172.16.20.2 eq 1433 445
بعد رفتم سراغ خط 70 چون خیلی نگرانم میکرد. یعنی چی که کلاینتها به سرورها با هر پورتی دسترسی داشته باشند (این رو نوشته بودم چون هر بار سرور با یه پورت رندم به کلاینت وصل میشه)
گفتم خوب ! از سرور چطوری به کلاینت وصل میشم با \\ و اینکه پینگ اش کنم (ریموت کلا تو شبکه بنا به دلایلی بسته است). خوب پس سرور با یه پورت بزرگتر از 1023 وصل میشه به شیر سرور و جواب از اونجا برمیگرده ! پس جواب کلاینت از پورت 445 هست به یه پورت بزرگتر از 1023 سرور ! بنابراین خط زیر جایگزین 70 شد
permit tcp any eq 445 172.16.0.0 0.0.255.255 gt 1023
بعد دیم از روی سرورها بد نیست پینگ رو هم داشته باشیم پس خط زیر رو نگه داشتم
permit icmp any 172.16.0.0 0.0.255.255 echo-reply
(حالا مشکل سرور مونیتورینگ هم حل شده بود)
رفتم سراغ خط 90 ! خیلی ضایع بود. کلاینتها به هم با هر پورتی ! چه معنی داره ! اونها با شیر هم وصل میشن یا به پرینترهای هم (که ظاهرا هر دو پورتش tcp 445 هستش) بنابراین خط آخر اینگونه اصلاح شد
permit tcp any 192.168.32.0 0.0.31.255 eq 445
اوضاع خیلی بهتر شده بود. بعد رفتم سراغ سه خط مربوط به سرورها ! به سه سرور با پورت 80 ؟ به 172.16.20.1 که DC هست همه دسترسی رو دارند. مالی همکاران هم که وب نداره ! 172.16.20.5 و 172.16.20.4 هم که ندارم. بنابراین باید بشه یه سوپرنت خوشگل کشید بیرون
بنابراین سه خط رو خلاصه کردم به
permit tcp any 172.16.0 0.0.0.7 eq www
و نهایتا رسیدم به این لیست که فکر کنم نسبت به اولی خیلی بهتر شده بود
10permit ip any host 172.16.20.1
20 permit ip any host 172.16.30.39
30 permit udp any eq bootpc any eq bootps log
40 permit tcp any host 172.16.20.2 eq 1433 445
50 permit tcp any eq 445 172.16.0.0 0.0.255.255 gt 1023
55 permit icmp any 172.16.0.0 0.0.255.255 echo-reply
60 permit tcp any 172.16.20.0 0.0.0.7 eq www
90 permit tcp any 192.168.32.0 0.0.31.255 eq 445
و حالا سوالات من
1- اون خط 30 رو نمیشه یه فکری کرد. سرور DHCP من روی سوییچ 192.168.200.254 هستش ولی وقتی به جای any در مقصد این رو دادم به دیوار خورد و کلاینتها ای پی نمیگرفتند (که فکر کنم طبیعیه. پکتهای DHCP براد کست میشن و به آدرس 255.255.255.255 میرن بنابراین نمیشه به جای any آدرس سرور DHCP رو گذاشت) ولی خوب این قضیه چندان جالی نیست که کلاینتها بتونند از هر جا ای پی بگیرند. راهی داریم ؟؟
2- من فقط پورت TCP 445 رو باز گذاشتم (بین کلاینتها) و مشکلی در اتصال به هم و پرینترهای هم نداشتند. اما یادمه که جناب افضلان فرموده بودند این پورت فقط نیست و باید چند تا دیگه هم باز بشه (من حتی udp اش رو هم باز نکرد) ممکنه جایی مشکل پیش بیاد ؟
3- یه سوال یه ذره بی ربط. اگر یک کلاینت مالی بره آدرس کارت شبکه خودش رو تغییر بده و آدرسی از رنج و با گیت وی اداری )int vlan اداری) بده چه اتفاقی میفته ! مثلا حالا میخواد به یه سسیتم اداری وصل بشه ! من که فکر میکنم اصلا نباید گیت وی رو ببینه ولی خوب از اونطرف میگم رو سوییچ core روتینگ هست و .. !!1 ممنون میشم در مورد پکتهای این بنده خدا توضیحاتی بفرمایید
با تشکر و ممنون از همه