سلام دوستان، دوتا روتر تو شبکه دارم ، می خوام از یکی به سمت دیگری ping داشته باشم ولی از اون یکی به این یکی دیگه ping نداشته باشم ، باید با access-list این کارو انجام بدم ، آیا کسی میدونه چجوری؟؟؟؟
Printable View
سلام دوستان، دوتا روتر تو شبکه دارم ، می خوام از یکی به سمت دیگری ping داشته باشم ولی از اون یکی به این یکی دیگه ping نداشته باشم ، باید با access-list این کارو انجام بدم ، آیا کسی میدونه چجوری؟؟؟؟
سلام
از اونجایی که روترها به صورت State-full عمل Packet-filtering رو انجام نمیدن فکر نمیکنم که امکانپذیر باشه. چون Access-list رو چه در in و چه در out یک interface بنوسید بلاخره Packet مربوط ICMP رو یا در رفت و یا در برگشت مسدود میکنه.
سلام
من هم با نظر آقای ادریسیان موافقم ، البته چندین بار هم Try کردم اما ping از دو Router مسدود می شد .
و به صورت یکطرفه که مد نظر شما هست امکان پذیر نبود ...
چند نکته هم در فیلتر کردن ترافیک ICMP بگم :
1- Message type ها تو نوشتن ACL جهت فیلتر کردن ICMP مهمه ؛ چون ICMP از شماره و یا نام پورت استفاده نمی کنه .
2- در صورتی که Message type رو مشخص نکنید ؛ تمامی پیام های ICMP درنظر گرفته می شوند .
فرمت کلی دستور ICMP جهت فیلتراسیون ترافیک :
[CODE]
Router(config)#access-list 100-199_2000-2699 permit / deny icmp source address source wildcard mask destination address destination wildcard mask [icmp_message] log
[/CODE]
لیست تعدادی از Message type ها ICMP که در فیلتر کردن ترافیک مورد استفاده قرار می گیرند :
[CODE]
administratively,prohibited,alternate-address,conversion-error,dod-host-prohibited,dod-net-prohibited,eche,echo-reply
general-parameter-problem,host-isolated,host-precedence,unreachable,host-redirect,host-tos-redirect,host-tos-unreachable
host-unknown,host unreachable,information-reply,ttl-exceeded,traceroute ,...
[/CODE]
اطلاعات تکمیلی : [URL="http://www.cisco.com/en/US/products/sw/secursw/ps1018/products_tech_note09186a00800a5b9a.shtml"]Configuring IP Access Lists - Cisco Systems[/URL]
سلام
[CODE]access-list 120 deny icmp any any echo
access-list 120 permit icmp any any[/CODE]
برای اینترفیس مسیریابی که میخواهید پینگ نشود :
[CODE] ip access-group 120 in[/CODE]
سلام
روشی که آقای عباسی عنوان کردن جالب و تقریبا درسته. فقط به یه اصلاحیه کوچیک نیاز داره..
[CODE]access-list 120 deny icmp any any echo
access-list 120 permit ip any any[/CODE]
میشه دلیلش رو هم بگید. . . اصل سناریو چیه که نباید یکی از روترها دیگری رو پینگ نکنه ؟؟