صفحه 1 از 3 1 2 3 آخرینآخرین
نمایش نتایج: از شماره 1 تا 15 از مجموع 34

موضوع: مشکلات من با اکسس لیست همچنان ادامه دارد

  
  1. #1
    نام حقيقي: Mohammad

    عضو ویژه شناسه تصویری th95
    تاریخ عضویت
    Sep 2008
    نوشته
    4,263
    سپاسگزاری شده
    5756
    سپاسگزاری کرده
    2674
    نوشته های وبلاگ
    20

    مشکلات من با اکسس لیست همچنان ادامه دارد

    سلام
    دوستان
    من باز هم اومدم با مشکلات اکسس لیستی

    به داد برسید تا دیوانه نشدم

    به بار دیگه داستان رو تا این قسمت میگم تا دوستانی که جدید به من پیوستند با موضوع غریبه نباشند

    شبکه من 20 تا وی لن (مالی و اداری و رفاهی و .. ) داره با رنج آدرس 192.168.33.0 تا 192.168.52.0
    خودم هم در وی لن Master هستم با آدرس 192.168.60.0
    سرورها هم در وی لن دیگری با آدرس 172.16.0.0 هستند
    گیت وی کلاینتها در هر وی لن هم اولین آدرسشه (مثلا برای 192.168.35.0 ، گیت وی کلاینتها هستش 192.168.35.1)
    روی سوییچ Core همه Int VLAN ها با آدرس همین گیت وی ساخته شده اند
    سرور DHCP هم همین سوییچهای CORE هستند


    یوزرهای وی لن های مختلف تو سوییچ های اکسس مختلف هستند (طبقات)
    اکسس ها به سه سوییچ استک شده Core 3750 وصل هستند
    روی سوییچ Core از Ip routing استفاده شده تا ملت به هم دسترسی داشته باشند


    نکاتی که باید انجام میدادم

    دسترسی همه یوزرها بهPri. DC و Add. DC به آدرس های 172.16.20.1 و 172.16.30.39 (که چون بچه ها با پورتهای مختلف به مشکل خورده بودند فعلا همه رو باز گذاشتم)
    دسترسی همه یوزرها به سایت شیرپیونت و اتوماسیون تحت وب به آدرسهای 172.16.20.3 و 172.16.20.7
    دسترسی یوزرهای بخش مالی VLAN 128 به همکاران سیستم با آدرس 172.16.20.2 (که ظاهرا با پورت SQL یعنی 1433 کار میکنه و یه پورت دیگه که نمیدونم چیه 445 )
    دسترسی یوزرها به همکارانشون (هم وی لنی خودشون)
    عدم دسترسی یوزرها به ملت در وی لن های دیگه


    خوب ! من وی لن مالی یعنی 128 رو برای تست انتخاب و این اکسس لیست رو به صورت InBound روش اعمال کردم


    ip access-list extended Mali_ACL

    10 permit ip any host 172.16.20.1
    20 permit ip any host 172.16.30.39
    30 permit tcp any host 172.16.20.7 eq www
    30 permit tcp any host 172.16.20.3 eq www
    40 permit udp any eq bootpc any eq bootps
    50 permit tcp any host 172.16.20.2 eq 1433
    60 permit tcp any host 172.16.20.2 eq 445

    int vlan 128
    ip access-group Mali_ACL in

    خوب
    همه چیز ظاهرا درست کار میکرد
    اون مشکلی هم که قبلا داشتم (یعنی عدم دسترسی ملت به هم وی لنی های خودشون ) حل شد
    ضمنا به وی لن های دیگه هم دسترسی نداشتند

    اما یه مشکل اساسی
    دیگه خود من هم به سیستم های مالی دسترسی نداشتم نه Ping نه با \\ نه هیچ رقم دیگه
    دسترسی از سمت سرورها هم قطع شد
    یعنی کلاینتها به سرورها دسترسی داشتند
    اما برای مثال سرور مونیتورینگ من که 172.16.30.30 هستش و روش SolarWinds Orion NPM نصب هستش هم دیگه ارتباطش با کلاینتها قطع شد و میگفت همه Down هستند

    اول از همه تقاضا دارم کمک کنید این بدبختی رو به سامان برسونم

    دوم اینکه هر نکته ای در مورد اکسس لیست و بهینه سازی و امنیت اون به نظرتون میرسه پیشنهاد بفرمایید

    پیشاپیش بسیار ممنون








    موضوعات مشابه:
    ویرایش توسط th95 : 2010-04-20 در ساعت 07:31 PM





  2. #2
    نام حقيقي: Ali Afzalan

    مدیر بخش Cisco شناسه تصویری aliafzalan
    تاریخ عضویت
    Apr 2009
    محل سکونت
    Tehran
    نوشته
    2,086
    سپاسگزاری شده
    2556
    سپاسگزاری کرده
    2059
    سلام
    اول از همه اینکه آقا محمد، فکر کنم اگه این تاپیک رو در ادامه تاپیکهای قبلی میزدید بهتر بود تا اینکه تاپیک جدیدی باز کنید!
    دوم اینکه چه خوب بود مینوشتید چطوری مشکل قبلی حل شد تا ما هم یاد میگرفتیم
    سوم اینکه بخش مالی حق داره که ping نداشته باشه! چون شما ping رو توی ACL باز نکردید:
    permit icmp any any
    و چهارم اینکه شما توی ACL هیچ چیزی رو برای Solarwinds -172.16.30.30 باز نکردید.
    که اگه که اون هم با ping کار میکنه، با باز کردن icmp حل میشه.



    th95 سپاسگزاری کرده است.

  3. #3
    نام حقيقي: Mohammad

    عضو ویژه شناسه تصویری th95
    تاریخ عضویت
    Sep 2008
    نوشته
    4,263
    سپاسگزاری شده
    5756
    سپاسگزاری کرده
    2674
    نوشته های وبلاگ
    20
    نقل قول نوشته اصلی توسط aliafzalan نمایش پست ها
    سلام
    اول از همه اینکه آقا محمد، فکر کنم اگه این تاپیک رو در ادامه تاپیکهای قبلی میزدید بهتر بود تا اینکه تاپیک جدیدی باز کنید!
    دوم اینکه چه خوب بود مینوشتید چطوری مشکل قبلی حل شد تا ما هم یاد میگرفتیم
    سوم اینکه بخش مالی حق داره که ping نداشته باشه! چون شما ping رو توی ACL باز نکردید:
    permit icmp any any
    و چهارم اینکه شما توی ACL هیچ چیزی رو برای Solarwinds -172.16.30.30 باز نکردید.
    که اگه که اون هم با ping کار میکنه، با باز کردن icmp حل میشه.
    سلام
    حقیقتش فکر کردم این موضوع یه ذره متفاوت با قبلیه
    دوم اینکه وا.. من نمیدونم شما بگید چطوری حل شد
    من ته این اکسس لیست نوشته بودم permit 192.168.32.0 0.0.31.255 تا کلاینتها به هم دسترسی داشته باشند (تو وی لنهای مختلف) بعد این رو ورداشتم و درست شد - اون مشکل قبلیم همچنان باقیه و نمیدونم اون قبلی چرا کار نکرد

    سوم اینکه خدمتتون عرض کردم نه فقط پینگ بلکه هیچ ارتباطی برقرار نیست. من میدونم بخش مالی حق ارتباط با بخش دیگه ای (غیر از اونهایی که تعریف شده ) رو نداره ! من خودم چرا نمیوتم با اونها (مالی) ارتباط داشته باشم. نه با پینگ به هیچ پروتکل دیگه ای مثلا با \\ هم نمیتونم بهشون وصل بشم - روی وی لن من که اکسس لیستی وجود نداره

    چهارم اینکه روی اینترفیس وی لن سرورها هم هیچ اکسس لیستی وجود نداره - ضمنا اون بنده خدا سولارویندز هم با snmp, ping و .. خیلی چیزهای دیگه کار میکنه پس باید بتونه به اون وی لن وصل بشه


    ویرایش توسط th95 : 2010-04-20 در ساعت 08:52 PM

  4. #4
    نام حقيقي: Ali Afzalan

    مدیر بخش Cisco شناسه تصویری aliafzalan
    تاریخ عضویت
    Apr 2009
    محل سکونت
    Tehran
    نوشته
    2,086
    سپاسگزاری شده
    2556
    سپاسگزاری کرده
    2059
    سلام
    من که هنوز متوجه نشدم اون مشکل قبلی (عدم ping هم VLAN یها بعد از قرار دادن ACL) چطور حل شد ولی خب بگذریم.
    ببینید وقتی شما یک Packet رو می فرستید، باید جوابش هم برگرده و مشکل دقیقاً همین جاست.
    درسته که شما سمت خودتون و سرورها هیچ ACL ندارید، ولی وقتی یک کامپیوتر رو که توی بخش مالی هست رو ping می کنید (echo request)، این بسته icmp به دست کامپیوتر مالی میرسه، ولی موقع برگشت که می خواهد جواب شما رو بده (echo reply) میرسه به ip access-group Mali_ACL in و چون icmp توی این ACL باز نیست، سوئیچ بسته رو میگیره و محکم میکوبونه
    توی دیوار !
    پیشنهاد میکنم کتاب Cisco IOS Access Lists - O'Reilly Media رو دانلود کرده و مطالعه کنید، فقط در مورد ACL هست


    ویرایش توسط aliafzalan : 2010-04-20 در ساعت 09:48 PM

  5. #5
    نام حقيقي: Mohammad

    عضو ویژه شناسه تصویری th95
    تاریخ عضویت
    Sep 2008
    نوشته
    4,263
    سپاسگزاری شده
    5756
    سپاسگزاری کرده
    2674
    نوشته های وبلاگ
    20
    نقل قول نوشته اصلی توسط aliafzalan نمایش پست ها
    سلام
    من که هنوز متوجه نشدم اون مشکل قبلی (عدم ping هم VLAN یها بعد از قرار دادن ACL) چطور حل شد ولی خب بگذریم.
    ببینید وقتی شما یک Packet رو می فرستید، باید جوابش هم برگرده و مشکل دقیقاً همین جاست.
    درسته که شما سمت خودتون و سرورها هیچ ACL ندارید، ولی وقتی یک کامپیوتر رو که توی بخش مالی هست رو ping می کنید (echo request)، این بسته icmp به دست کامپیوتر مالی میرسه، ولی موقع برگشت که می خواهد جواب شما رو بده (echo reply) میرسه به ip access-group Mali_ACL in و چون icmp توی این ACL باز نیست، سوئیچ بسته رو میگیره و محکم میکوبونه
    توی دیوار !
    پیشنهاد میکنم این کتاب Cisco IOS Access Lists - O'Reilly Media رو دانلود کرده و مطالعه کنید، فقط در مورد ACL هست

    سلام
    آقا من اینجا بحث دارم
    پینگ رو بذاریم کنار (گفتم که از پینگ بگذریم)
    چون اون باید جواب هم داشته باشه و جوابش میاد توی وی لن مالی و ...

    اما مثلا میخوایم به Share های وی لن مالی وصل بشیم (من میخوام وصل بشم که هیچ اکسس لیستی روی اینترفیس وی لن ندارم)
    خوب مثلا پورت 445 (مطمئن نیستم دقیقا) استفاده میشه
    بسته من میره به وی لن خودم - اینجا که اکسس لیستی نیست بعد میره به اینترفیس وی لن مالی و از اونجا خارج میشه به سمت کلاینتهای مالی (اونجا هم که acl خروجی وجود نداره)
    خوب پس ارتباط از یک پورت رندوم مثلا 1035 به پورت 445 اون کلاینت برقرار میشه (Connection Established)
    حالا بسته های ارسالی من و جواب اون بنده خدا روی این کانکشن تبادل میشن

    احتمالا شما در جواب میگید نه اینطور نیست
    از اونور هم باید یه کانکشن برقرار بشه ! اگر چنین عقیده ای دارید بیشتر توضیح بدید و دو تا لینک حوب هم بدید
    و اصلا بگید چه باید کرد (نگفتید چجوری باید این قضیه رو اصلاح کرد) آیا باید مثلا برای Sharing یه خط توی اکسس لیست بنویسم بگم بسته وی لن مالی با پورت مبدا 445 میتونند به وی لنهای مستر و سرور ها (هر پورتی) وصل بشن) ؟

    امروز با یکی از دوستان سر همین بحث میکردیم
    اصلا ما میگیم ملت میتوند با هر پورتی به پورت 80 اتوماسیون وصل بشن
    خوب من با یه پورت رندم به پورت 80 اتوماسیون وصل میشم و کانکشن برقرار میشه و حالا دیتا توی این کانکشن رد و بدل میشه
    بحث این بود که آیا در چین شرایطی؛ ارتباط و پورتها از اتوماسیون به کلاینتها هم مد نظر هستند ؟ یعنی آیا اتوماسیون دیتای خودش رو (مثلا نامه ای که روی سروره و کلاینت باید ببینه) رو توی همین کانکشن و با پورت 80 خودش به سمت همون پورت کلاینت میفرسته یا نه باید یه کانکشن دیگه ای باشه در جهت برعکس و ..

    یا اینجوری بگم
    در همین شرایط فرض کنید میخوام ادمین اتوماسیون که دسترسی کامل به سرور داره، نتونه به بقیه سیستمها وصل بشه (سرور اتوماسیون نتونه غیر از زمانی که لازمه هیچ ارتباطی بتونه با کلاینتها برقرار کنه)
    خوب حالا چه باید کرد ؟ روی اینترفیس وی لن سرورها چی تعریف کنم
    آیا باید بگم
    permit tcp host 172.16.20.7 eq 80 any

    که اینطوری ارتباط برقرار بشه یا همونطور که تو بخش قبل گفتم اصلا این قضیه بی معنی و غیر ضروریه ! چون کلاینت پل ارتباطی رو از یه پورت خودش به پورت 80 اتوماسیون میزنه و پس از اون داده ها در هر دو جهت رو همین پل بی مشکل رد و بدل میشن

    بسیار ممنون از توجه شما و همه دوستان

    رلسای علی آقا دمت گرم کتابی برای ما میذاری که عکس . .. .. روشه
    یعنی انقدر سوالام ضایع هستش


    ویرایش توسط th95 : 2010-04-20 در ساعت 10:06 PM

  6. #6
    نام حقيقي: Ali Afzalan

    مدیر بخش Cisco شناسه تصویری aliafzalan
    تاریخ عضویت
    Apr 2009
    محل سکونت
    Tehran
    نوشته
    2,086
    سپاسگزاری شده
    2556
    سپاسگزاری کرده
    2059
    نقل قول نوشته اصلی توسط mhdganji نمایش پست ها

    اما مثلا میخوایم به Share های وی لن مالی وصل بشیم (من میخوام وصل بشم که هیچ اکسس لیستی روی اینترفیس وی لن ندارم)
    خوب مثلا پورت 445 (مطمئن نیستم دقیقا) استفاده میشه
    بسته من میره به وی لن خودم - اینجا که اکسس لیستی نیست بعد میره به اینترفیس وی لن مالی و از اونجا خارج میشه به سمت کلاینتهای مالی (اونجا هم که acl خروجی وجود نداره)
    خوب پس ارتباط از یک پورت رندوم مثلا 1035 به پورت 445 اون کلاینت برقرار میشه (Connection Established)
    حالا بسته های ارسالی من و جواب اون بنده خدا روی این کانکشن تبادل میشن

    احتمالا شما در جواب میگید نه اینطور نیست
    از اونور هم باید یه کانکشن برقرار بشه ! اگر چنین عقیده ای دارید بیشتر توضیح بدید و دو تا لینک حوب هم بدید
    سلام
    تکذیب میشه، به شدت!! من کی این حرف زدم ؟!؟!
    آقا محمد ببین، مثلا همین مثال خودت. فرض کن شما با پورت 1035 میخواهید به پورت 445 کلاینت مالی وصل بشید، بسته شما با موفقیت به مقصد میرسه، اما !!
    موقع برگشت سیستم مالی یه بسته درست میکنه با IP و پورت 445 که به IP شما و پورت 1035 شما ارسال میکنه. این بسته وقتی میرسه به دست Int VLAN مالی و می خواهد وارد اون بشه، جلوی راهش یک ACL داره، که با هیچ کدوم از خطوط match نمیشه و در نتیجه . . . همون دیواری که گفتم

    نقل قول نوشته اصلی توسط mhdganji نمایش پست ها
    راستی علی آقا دمت گرم کتابی برای ما میذاری که عکس . .. .. روشه
    یعنی انقدر سوالام ضایع هستش
    شرمنده، قصد جسارت نداشتم. خب تقصیر من نیست که، تقصیر انتشارات O'REILLY که این عکس رو گذاشته، راستی، قبلاً خودم هم این کتاب رو خوندم


    th95 سپاسگزاری کرده است.





  7. #7
    نام حقيقي: Mohammad

    عضو ویژه شناسه تصویری th95
    تاریخ عضویت
    Sep 2008
    نوشته
    4,263
    سپاسگزاری شده
    5756
    سپاسگزاری کرده
    2674
    نوشته های وبلاگ
    20
    موقع برگشت سیستم مالی یه بسته درست میکنه با IP و پورت 445 که به IP شما و پورت 1035 شما ارسال میکنه. این بسته وقتی میرسه به دست Int VLAN مالی و می خواهد وارد اون بشه، جلوی راهش یک ACL داره، که با هیچ کدوم از خطوط match نمیشه و در نتیجه . . . همون دیواری که گفتم
    دو تا نکته
    1- الان با این وضعیت من چیکار کنم
    بگم کلاینتهای مالی میتونند با پورت 445 به هر پورت من وصل بشن ؟ (چون ظاهرا پورتی که از سمت من شروع به ارتباط میکنه رندم انتخاب میشه)
    خوب این بد نیست ؟ خطرناک نیست ؟ اینکه اونها چندتا پورت داشته باشند که بتونند به هر پورتی توی سرورها یا سیستم من که ادین هستش بسته بفرستند ؟

    2- ما قبلا یه فایروال سخت افزاری داشتیم ! توی اون فایروال گفته بودیم مثلا من میتونم به پورت 445 کلاینتها وصل بشم
    فایروال هم که تهش یه implicit deny داره
    از انور به اینور (کلاینتها به سیستم خودم) هم که چیزی تعریف نکرده بودم
    پس اون چطور کار میکرد ؟



  8. #8
    نام حقيقي: Ali Afzalan

    مدیر بخش Cisco شناسه تصویری aliafzalan
    تاریخ عضویت
    Apr 2009
    محل سکونت
    Tehran
    نوشته
    2,086
    سپاسگزاری شده
    2556
    سپاسگزاری کرده
    2059
    من نمیدونم شما قبلا چه فایروالی داشتید. ولی مثلا توی Cisco ASA شما چندین Zone تعریف میکنید و به هر Zone یک Security Level اختصاص میدید و به این شکل هست که Zone با Security Level بالا میتونه به سطح پایین تر خودش ارتباط برقرار کنه و وقتی این کانکشن برقرار شد دیگه نیازی به چک کردن ACL نیست (فایروال بحثش از این ACL روتر و سوئیچ جداست)
    ولی توی ACL باید از هر دو طرف کانکشن رو چک کنی، چون شاید پکتها عبور کنن ولی دیگه برنگردند!! درصورتیکه توی فایروال اگه بره برمیگرده!
    البته توی سوئیچ هم با CBAC ACL هم میتونی همون کاره فایروال رو انجام بدی ولی خب CPU & RAM زیادی مصرف میکنه.
    در مورد اون شماره 1 هم یه موردی هست. ببینم شما می خواهید به پوشه share شده روی کامپیوتر مالی وصل بشید ؟؟؟
    خب بهتره یه سرور sharing بزارید و بقیه فایلهاشون رو اونجا بزارن، اینطوری میتونید یه ACL روی ورودی int vlan مالی بنویسید. مثلا به این شکل:

    permit tcp any host 172.16.1.10 eq 445

    که 172.16.1.10 آدرس سرور Share شما باشه (البته شک دارم که آیا فقط پورت 445 باید برای sharing باز بشه و یا به پورت دیگه ای هم نیاز هست، این رو میتونید یه سرچ کنید)


    th95 سپاسگزاری کرده است.

  9. #9
    نام حقيقي: Mohammad

    عضو ویژه شناسه تصویری th95
    تاریخ عضویت
    Sep 2008
    نوشته
    4,263
    سپاسگزاری شده
    5756
    سپاسگزاری کرده
    2674
    نوشته های وبلاگ
    20
    درصورتیکه توی فایروال اگه بره برمیگرده!
    دراین مورد یه توضیح کوچیک میدید ؟ همه فایروال ها اینطوری هستند ؟

    خب بهتره یه سرور sharing بزارید و بقیه فایلهاشون رو اونجا بزارن، اینطوری میتونید یه ACL روی ورودی int vlan مالی بنویسید. مثلا به این شکل:

    permit tcp any host 172.16.1.10 eq 445
    این کار رو قطعا میکنیم
    ولی من میخوام دسترسی کامل به سیستمها داشته باشم ! فقط بحث sharing نیست
    من میخوام بتونم بهمه درایوها (autoshare) و همه پورتهای اونها وصل بشم
    این رو چه کنم

    در ضمن توضیحی برای اون نگرانی امنیتی من ندادید
    آیا من در اون مورد حق دارم نگران باشم
    آیا درست میگم که به دلیل رندم بودن پورت خروجی من؛ باید به اونها اجازه بدم با پورت 445 به هر پورتی از من وصل بشند


    البته شک دارم که آیا فقط پورت 445 باید برای sharing باز بشه و یا به پورت دیگه ای هم نیاز هست، این رو میتونید یه سرچ کنید)
    The following ports are associated with file sharing and server message block (SMB) communications:
    • Microsoft file sharing SMB: User Datagram Protocol (UDP) ports from 135 through 139 and Transmission Control Protocol (TCP) ports from 135 through 139.
    • Direct-hosted SMB traffic without a network basic input/output system (NetBIOS): port 445 (TCP and UPD).

    راستی تو اکسس لیست نمیشه یه سری پورت و سرویس درست کرد یا پورتها رو با کاما جدا کرد یا ..
    یا یه سری هاست رو توی یه گروه گذاشت
    مثلا این دو خط رو یکی کرد

    permit ip any host 172.16.20.1
    permit ip any host 172.16.30.39

    یا این دو خط رو ؟
    permit tcp any host 172.16.20.2 eq 1433
    permit tcp any host 172.16.20.2 eq 445

    در ضمن خیلی وقت گذاشتید
    واقعا ممنونم


    ویرایش توسط th95 : 2010-04-20 در ساعت 11:18 PM

  10. #10
    نام حقيقي: Ali Afzalan

    مدیر بخش Cisco شناسه تصویری aliafzalan
    تاریخ عضویت
    Apr 2009
    محل سکونت
    Tehran
    نوشته
    2,086
    سپاسگزاری شده
    2556
    سپاسگزاری کرده
    2059
    نقل قول نوشته اصلی توسط mhdganji نمایش پست ها
    دراین مورد یه توضیح کوچیک میدید ؟ همه فایروال ها اینطوری هستند ؟
    من با همه فایروالهای دنیا کار نکردم که بگم همه اینطوری هستند یا نه !!

    نقل قول نوشته اصلی توسط mhdganji نمایش پست ها
    ولی من میخوام دسترسی کامل به سیستمها داشته باشم ! فقط بحث sharing نیست
    من میخوام بتونم بهمه درایوها (autoshare) و همه پورتهای اونها وصل بشم
    این رو چه کنم
    میتونید یک ACL بنویسید که همه بتونن به شما وصل بشن. pemit ip any host 192.168.1.2 که 1.2 سیستم شماست.

    نقل قول نوشته اصلی توسط mhdganji نمایش پست ها
    در ضمن توضیحی برای اون نگرانی امنیتی من ندادید
    آیا من در اون مورد حق دارم نگران باشم
    آیا درست میگم که به دلیل رندم بودن پورت خروجی من؛ باید به اونها اجازه بدم با پورت 445 به هر پورتی از من وصل بشند
    اونها نمیتونن با پورت 445 به هر پورت شما وصل بشن، چون مثلا پورت 1456 شما در حالت عادی بسته است، وقتی شما میخواهید به sharing سیستم مقابل وصل بشید، ویندوز پورت 1456 شما رو باز میکنه و بعد ارتباط برقرار میشه.
    در ضمن ورود به سیستم شما یا هر شخص دیگه کار راحتی نیست، اگه سیستم عامل شما update باشه و فایروال و آنتی ویروس روی سیستمون باشه فکر نکنم دیگه جای نگرانی باقی بمونه
    نقل قول نوشته اصلی توسط mhdganji نمایش پست ها
    راستی تو اکسس لیست نمیشه یه سری پورت و سرویس درست کرد یا پورتها رو با کاما جدا کرد یا ..
    یا یه سری هاست رو توی یه گروه گذاشت
    خودتون تست کنید !!! بعد از نوشتن ACL یه کاما یا space بزن ببین میشه یا نه !!


    ویرایش توسط aliafzalan : 2010-04-21 در ساعت 07:42 AM
    th95 سپاسگزاری کرده است.

  11. #11
    نام حقيقي: Mohammad

    عضو ویژه شناسه تصویری th95
    تاریخ عضویت
    Sep 2008
    نوشته
    4,263
    سپاسگزاری شده
    5756
    سپاسگزاری کرده
    2674
    نوشته های وبلاگ
    20
    خودتون تست کنید !!! بعد از نوشتن ACL یه کاما یا space بزن ببین میشه یا نه !!
    نشد ! شايد من دارم Syntax رو اشتباه مينويسم
    اگه ميشه لطفا راهنمايي كنيد (چه براي هاست چه براي پورتها)

    و يه نكته ديگه
    آيا اين اكسس ليست (حالا يه چند تا رول ديگه هم بهش اضافه كنيد) خيلي شبكه رو كند ميكنه !؟ سوييچ رو ميخوابونه و بهره وريش رو خيلي تحت الشعاع قرار ميده ؟؟
    الان من سويچهام رو ميبينم لود cpu شون زير 10 درصده اما رمشون همه حدود 60 درصد
    كلا اكسس ليست كار سوييچ هست (در همين حدي كه گفتم) حالا با يه چند رول و استثناي ديگه
    يا بي خيال بشيم بريم سراغ فايروال

    ضمنا پينگ سوييچها (وقتي يه اينترفيس وي لن روي يه سوييچ رو پينگ ميكنم) افتضاحه ! تا 200 ميلي ثانيه هم ميرسه
    اونم تو بستري كه 2 گيگ پهناي باند داريم ! ظاهرا سوييچ ها تو پينگ خيلي ضعيف عمل ميكنند ! ميخوام ببينم اين قضيه در مورد اكس ليست هم وجود داره ؟



  12. #12
    نام حقيقي: Ali Afzalan

    مدیر بخش Cisco شناسه تصویری aliafzalan
    تاریخ عضویت
    Apr 2009
    محل سکونت
    Tehran
    نوشته
    2,086
    سپاسگزاری شده
    2556
    سپاسگزاری کرده
    2059
    نقل قول نوشته اصلی توسط mhdganji نمایش پست ها
    نشد ! شايد من دارم Syntax رو اشتباه مينويسم
    اگه ميشه لطفا راهنمايي كنيد (چه براي هاست چه براي پورتها)
    permit tcp any host 1.1.1.1 eq www telnet domain

    در مورد هاست هم چیزی پیدا نکردم، فکر کنم نمیشه.


    نقل قول نوشته اصلی توسط mhdganji نمایش پست ها
    آيا اين اكسس ليست (حالا يه چند تا رول ديگه هم بهش اضافه كنيد) خيلي شبكه رو كند ميكنه !؟ سوييچ رو ميخوابونه و بهره وريش رو خيلي تحت الشعاع قرار ميده ؟؟
    الان من سويچهام رو ميبينم لود cpu شون زير 10 درصده اما رمشون همه حدود 60 درصد
    كلا اكسس ليست كار سوييچ هست (در همين حدي كه گفتم) حالا با يه چند رول و استثناي ديگه
    يا بي خيال بشيم بريم سراغ فايروال
    بعید میدونم، من چند تا ACL دارم (روی Core - 3750) و تا حالا مشکلی نداشتم. سعی کنید فقط ACL هاتون رو بهینه بنویسید، یعنی اونی که احتمال match شدنش بیشتر باشه رو بزارید خطوط اول . . . و البته سعی کنید ACL هایی که مورد نیازتون هست رو بنویسید، الکی بهش شاخ و برگ ندید!
    به نظر من همین سوئیچ جواب کارتون رو میده و نیازی به فایروال نیست (البته بستگی به شبکتون داره)

    نقل قول نوشته اصلی توسط mhdganji نمایش پست ها
    ضمنا پينگ سوييچها (وقتي يه اينترفيس وي لن روي يه سوييچ رو پينگ ميكنم) افتضاحه ! تا 200 ميلي ثانيه هم ميرسه
    اونم تو بستري كه 2 گيگ پهناي باند داريم ! ظاهرا سوييچ ها تو پينگ خيلي ضعيف عمل ميكنند ! ميخوام ببينم اين قضيه در مورد اكس ليست هم وجود داره ؟

    فاجعه است!!! باید ping int vlan زیر 1ms باشه.
    از همه سیستمها و همه VLAN ها زمان ping time همین اندازه است ؟؟
    یه سیستم مستقیم وصل کنید به سوئیچ Core و ببینید ping vlan چقدر میشه.


    mgholami و th95 سپاسگزاری کرده‌اند.





  13. #13
    نام حقيقي: Mohammad

    عضو ویژه شناسه تصویری th95
    تاریخ عضویت
    Sep 2008
    نوشته
    4,263
    سپاسگزاری شده
    5756
    سپاسگزاری کرده
    2674
    نوشته های وبلاگ
    20
    ممنون
    اون پینگ رو چک میکنم بهتون میگم
    ولی یادمه استادمون میگفت چون سوییچ برای جواب دادن پینگ ساخته نشده با پینگ مشکل داره و کنده

    یه سوال دیگه
    آیا میتونیم بگیم شروع کننده ارتباط (مثلا من که میخوام به پورت شیرینگ یه نفر وصل بشم) از یه پورت رندم استفاده میکنه که حتما از یه عددی (ظاهرا 1023) بزرگتره

    و یه سوال دیگه
    با توجه به توضیحاتی که دادم و فکر میکنم تقریبا کامل بود میتونید اکسس لیست من رو تصحیح کنید (حالت بهینه اش رو پیشنهاد کنید)

    رنج سرورها رو که نوشتم
    ای پی خودم رو هم که گفتم (کلا وی لن 100 برای Master هسات)


    راستی این رو ببینید
    Stateful Firewall vs. ACLs on router
    (1/1)
    danmm7:
    This may sound like an easy one.....but getting specific facts is not as simple....

    Can someone provide some factual evidence on why a Stateful Firewall is much more effective when compared to an ACL based security solution (IP filter).
    - What specific technical risks/weaknesses will be involved if router-based packet filter/Access Control List approach is used?
    - Are there any OFFICIALLY published certifications/best practices that cover the use of statefull firewalls vs. ACLs and why one is better than the other? Any research papers on this topic?


    Thank you for any feedback!



    oldo:
    Well, since stateful firewalls have been on the market for quite many years now and in many cases evolved with enhanced new security features I'm sure the web is full of "stateful vs. stateless" documents. But with regards to security the obvious advantages of a stateful firewall in general would be:

    - The firewall keeps states an ALL communication passing through the firewall. This means that every single packet traversing the firewall is treated without regard to previous/future packets in a stateless/static firewall (router). An obvious drawback is that you need permanent open holes in your firewall to allow the traffic you need, and not open and close holes/ports in your firewall depending on the state of the session. Another typical drawback that is common with most static/stateless firewalls are that they are vulnrable to spoofing and flooding.

    Now I also mentioned that the stateful firewalls have evolved quite a bit the last couple of years. Many stateful firewalls can inspect packets at higher levels (application layer) and protect specific applications from known/unknown threats. Also reassembly of fragmented packets to find hidden attacks. Yes of course deeper inspection and more functions can cost performance. But I'm sure there is a stateful firewall out there that will suit your needs.
    alan:
    Router ACLS are more easily spoofed (since they are not stateful).

    On the other hand router ACLs are much faster than a stateful firewall and might make sense where the session ramp-up could be faster than a firewall can handle (like the Olympics or a Victoria's Secret show).


    ویرایش توسط th95 : 2010-04-22 در ساعت 08:54 AM

  14. #14
    نام حقيقي: محمد تقی غلامی انبوهی

    عضو ویژه
    تاریخ عضویت
    Nov 2006
    محل سکونت
    پیش خدا %temp%
    نوشته
    1,528
    سپاسگزاری شده
    824
    سپاسگزاری کرده
    1973
    ببخشید بچه ها من یه پیشنهاد دارم برای اینکه ترافیک الکی هم نفرستید اکسس لیست هاتون رو بجای in روی out و بر اساس VLAn مبداء بازنویسی کنید. به نظرم اینطوری خیلی بهتر باشه





    th95 سپاسگزاری کرده است.

  15. #15
    نام حقيقي: Mohammad

    عضو ویژه شناسه تصویری th95
    تاریخ عضویت
    Sep 2008
    نوشته
    4,263
    سپاسگزاری شده
    5756
    سپاسگزاری کرده
    2674
    نوشته های وبلاگ
    20
    نقل قول نوشته اصلی توسط mgholami نمایش پست ها
    ببخشید بچه ها من یه پیشنهاد دارم برای اینکه ترافیک الکی هم نفرستید اکسس لیست هاتون رو بجای in روی out و بر اساس VLAn مبداء بازنویسی کنید. به نظرم اینطوری خیلی بهتر باشه



    میشه شما همین بالایی ها رو بنویسی (به صورتی که خودت گفتی)
    ضمنا مزیتش رو هم بگی
    ممنون



صفحه 1 از 3 1 2 3 آخرینآخرین

کلمات کلیدی در جستجوها:

همه چیز در مورد access-list

اتصال به پورت 1433 وی لن

کار با سوییچ دراکسس

تنظیم ACLروی سوئیچهای سیسکو

لیست ایپی پورت 445

پیکربندی cbac بر وروی سوئچ

اکسس لیست جهت بستن share

مشکل vlan عدم ping

توضیحاتی در مورد access list ها در asa cisco

باز کردن dhcp با access list

اکسس من مشکل دارد

پیکربندی CBAC بر روی سوئیچ 3750

همه چیز در مورد اکسس

پیکربندی dhcp snooping در سوئیچ 3750

همه چیز درباره اکسس لیست در سوییچ

طریق بستن پورت 445 در اکسس لیست

معنی access-list 100 extended permit tcp any any eq 445 چیست

کار با access-list و dhcp

پورت مربوط به اکسس لیست dhcp

اکسس لیست دسترسی به dhcp

اکسس لیست سیسکو ip بزرگتر

permit udp any any eq bootpc مفهوم

تعریف اکسس لیست در سوییچ

100 permit ip host 192.168.1.2 mac a یعنی چه acl

permit 100 ip host 192.168.1.2 mac a یعنی چه acl

برچسب برای این موضوع

مجوز های ارسال و ویرایش

  • شما نمی توانید موضوع جدید ارسال کنید
  • شما نمی توانید به پست ها پاسخ دهید
  • شما نمی توانید فایل پیوست ضمیمه کنید
  • شما نمی توانید پست های خود را ویرایش کنید
  •