-
[QUOTE=mavrick;256864]ممنون توضیح دادید
فقط یه ابهامی هست
کتاب ccna icnd 2 chapter 6-page 250
example6-6
این تقریبا با سوال اولیه ما تو این پست یکیه اما دوستان تو جواب permit ip any any رو نگفتن
میشه بیشتر توضیح بدید
[COLOR=Red][B]اینجا هم پورت رو بسته[/B][/COLOR] با ip یعنی دقیقا همون سوال پست
تکلیف چیه؟[/QUOTE]
همون جور که خدمتتون عرض کردم permit any رو زمانی در آخر دستورات استفاده میکنیم که قبلش چیز خاصی رو بسته باشیم (deny) و بخوایم غیر از اون بقیه باز باشن .
دوستمون تو این پست میخواست یه [B]پورت رو باز کنه[/B] نه اینکه ببنده . اگه میخواست مثلا پورت 1234 رو ببنده و بقیه پورتها رو باز بذاره فرمایش شما کاملا صحیح بود
اگه ابهامی تو توضیحاتم هست بفرمایید تا واضحتر عرض کنم
مثالتون رو خوندم . دقیقا تو اون مثال هم اومده 2 تا رول deny نوشته و با دستور خط آخر بقیه رو permit کرده .
من فکر کنم بدونم مشکل شما کجاست
ببینید وقی ACL مینویسید و به یک پورت اعمال میکنید . وقتی که بسته ای به پورت میرسه روتر از بالا به پایین ACL رو بررسی میکنه تا ببینه با کدوم دستورات مطابق هستش با هر کدوم که مطابقت داشت عملیات deny یا permit صورت میگیره و روتر دیگه سراغ خط بعدی نمیره . اما اگر مطابقت نداشت چی ؟ تا اینجا رو داشته باشید .
ته تمام دستورات تو ACL یه رول نامرئی خود روتر میذاره که اینجوریه :
access-list 10 deny any
یعنی اگه بسته با هیچ کدوم از رول های ما مشابهت نداشت به این رول میرسه و deny میشه .
پس برای اینکه ما از این اتفاق جلوگیری کنیم تو جاهایی که عرض کردم دستور permit any رو آخر مینویسیم تا بسته به رول نامرئی نرسه تا deny بشه .
امیدوارم واضح گفته باشم .
-
با سلام خدمت دوستان و اساتید بزرگوار
ببیند جناب آقای [B]مشكواتي [/B]در مورد اکسس لیست چند نکته رو توضیح میدم فکر میکنم کل مشکل شما حل بشه.البته قضصد جسارت ندارم.
ببینید وقتی شما یک لیست دسترسی رو می نویسید و اون لیست رو به یک یا چند اینترفیس اعمال می کنید از اون لحظه پکت هایی که از اون اینترفیس وارد یا خارج میشن (بسه به نوع تعریف ورودی یا خروجی) با لیست (لیست دسترسی )مورد نظر مقایسه میشه اگه مطابقت(از لحاظ مبدا و مقصد) داشته باشه ، واکنش (deny , permit) مورد نظر اعمال میشه تا اینجا مشکلی نداریم.حالا بیاد مقایسه بشه و توی لیست مورد نظر رکورد یا خطی مطابق با بسته مورد نظر وجود نداشته باشه اون لحظه واکنش روتر یا دوایس لایه 3 نسبت به اون بسته منفی(deny) و اون بسته یا بسته ها drop میشن.پس نتیجه میگیریم آخر هر لیست دسترسی یه deny وجود داره.
جناب آقای [B]مشكواتي [/B]ببینید ما زمانی از لیست هایی دسترسی استفاده میکنم که بخواهیم محدودیتی بروری گذرگاه یا همون اینترفیس ها اعمال کنیم. یه مثال براتون میزنم که شاید شبیه به مثال هایی باشه که در کتاب های آموزشی دیده باشید.
بعنوان مثال من یه شبکه دارم میخوام به غیر کامپیوتر 10.10.10.10 (x)همه کامپیوتر های دیگه به شبکه 192.168.1.0(A) دسترسی داشته باشند.
[LEFT]access-list 100 deny ip host 10.10.10.10 192.168.1.0 0.0.0.255
[RIGHT]خوب اگه فقط این خط نوشته بشه و بعد روی ایترفیس مورد نظر اعمال بشه علاوه بر اینکه کامپیوتر x به شبکه A دسترسی نداره کامپیوتر های دیگه هم به این شبکه دسترسی ندارن چون زمانی که وضعیت یک بسته (میشه گقت یک کامپیوتر یا یکه شبکه) در یک لیست اعمال شده مشخص نشه اون بسته یا آدرسی drop میشه یعنی یعنی عدم دسترسی به مقصد برای اینکه این مشکل حل بشه باید یک خط دیگه این لیست اضافه بشه یعنی:
[LEFT]access-list 100 deny ip host 10.10.10.10 192.168.1.0 0.0.0.255
access-list 100 permit ip any any
[RIGHT]با این خط آخری به روتر گفتم که همه آدرس ها به غیر 10.10.10.10 به شبکه A دسترسی داشته باشند.
اگه دقت کرده باشید این خط رو در آخر اکسس لیست ها می نویسن نه هر اکسس لیستی.
نوشتن درست اکسس لیست خیلی مهمه و چند تا نکته رو باید مد نظر قرار بدید
1- مشخص کنید که چی میخواین
2-از حداقل تعداد خطوط استفاده کنید *
3-ترتیب نوشتن خطوط خیلی مهمه
*ببینید شما میتونید با نوشتن 20 خط به مقصودتون برسید اگه بیشتر دقت کنید ممکنه با 4 خط هم مشکلتون حل بشه.
البته قصد جسارت نداشتم همه شما استاد بنده هستید.
اگه توضیح بیشتری لازم بود در خدمت شما هستم.
موفق باشید.
[/RIGHT]
[/LEFT]
[/RIGHT]
[/LEFT]
-
-
[QUOTE=iq2;256729]بدین صورت عمل کردیم:
[LEFT][B]access-list 120 permit tcp any host (ip dorbin) eq 7512[/B]
[B]interface fast ethernet 0/0[/B]
[B]ip access-group 120 in[/B]
[B] exit
[/B][RIGHT]ولی با این access list اینترنت هم قطع شد.
و با برداشتن access list بالا دوباره وصل میشه.
(اینترنت از طریق مودم لیز میاد به روتر)
یه سوال دیگه:
آیا با برداشتن تمام access list ها این دوربین ها باید بدون مشکل از شبکه رد شن؟
[/RIGHT]
[/LEFT]
[/QUOTE]
[LEFT][CODE]http://9tut.com/ccna-lab-sim/78-ccna-access-list-sim-2[/CODE][B][SIZE=4]This is one ACL Example - [COLOR=Red]Real CCNA Exam Question
Please Read ---->Why use this commands
[/COLOR][/SIZE][/B]A network associate is adding security to the configuration of the Corp1 router. The user on host C should be able to use a web browser to access financial information from the Finance Web Server. No other hosts from the LAN nor the Core should be able to use a web browser to access this server. Since there are multiple resources for the corporation at this location including other resources on the Finance Web Server, all other traffic should be allowed.
The task is to create and apply an access-list with no more than three statements that will allow ONLY host C web access to the Finance Web Server. No other hosts will have web access to the Finance Web Server. All other traffic is permitted.
Access to the router CLI can be gained by clicking on the appropriate host.
All passwords have been temporarily set to "cisco".
The Core connection uses an IP address of 198.18.196.65
The computers in the Hosts LAN have been assigned addresses of 192.168.33.1 - 192.168.33.254
Host A 192.168.33.1
Host B 192.168.33.2
Host C 192.168.33.3
Host D 192.168.33.4
The servers in the Server LAN have been assigned addresses of 172.22.242.17 - 172.22.242.30
The Finance Web Server is assigned an IP address of 172.22.242.23.
[CENTER] [IMG]http://9tut.com/images/ccna/labsim/access_list_sim2.jpg[/IMG][/CENTER]
[B]Answer and Explanation[/B]
Corp1>enable (you may enter "cisco" as it passwords here)
We should create an access-list and apply it to the interface which is connected to the Server LAN because it can filter out traffic from both Sw-2 and Core networks. The Server LAN network has been assigned addresses of 172.22.242.17 - 172.22.242.30 so we can guess the interface connected to them has an IP address of 172.22.242.30 (.30 is the number shown in the figure). Use the "show running-config" command to check which interface has the IP address of 172.22.242.30.
Corp1#show running-config
[CENTER][IMG]http://9tut.com/images/ccna/labsim/access_list_sim_show_running.jpg[/IMG] [/CENTER]
[B]We learn that interface FastEthernet0/1 is the interface connected to Server LAN network. It is the interface we will apply our access-list (for outbound direction).[/B]
Corp1#configure terminal
[B]Our access-list needs to allow host C - 192.168.33.3 to the Finance Web Server 172.22.242.23 via web (port 80)[/B]
Corp1(config)#access-list 100 permit tcp host 192.168.33.3 host 172.22.242.23 eq 80
[B]Deny other hosts access to the Finance Web Server via web[/B]
Corp1(config)#access-list 100 deny tcp any host 172.22.242.23 eq 80
[B]All other traffic is permitted [/B]
Corp1(config)#access-list 100 permit ip any any
[B]Apply this access-list to Fa0/1 interface (outbound direction)[/B]
Corp1(config)#interface fa0/1
Corp1(config-if)#ip access-group 100 out
[B]Notice:[/B] We have to apply the access-list to Fa0/1 interface (not Fa0/0 interface) so that the access-list can filter traffic coming from the Core network.
Click on host C and open its web browser. In the address box type [URL]http://172.22.242.23[/URL] to check if you are allowed to access Finance Web Server or not. If your configuration is correct then you can access it.
Click on other hosts (A, B and D) and check to make sure you can't access Finance Web Server from these hosts.
Finally, save the configuration
Corp1(config-if)#end
Corp1#copy running-config startup-config
[/LEFT]