در مورد این مسئله pf بهترین راهه
در مورد این مسئله pf بهترین راهه
جناب کلاهیمودم وقتی رو PF ست میشه ، حتما باید به همراه ای پی پورت هم بدی که رو اون پورت فوروارد کنه .
طبق فرض شما ، اگه کسی 8.8.8.8 رو بزنه ، صفحه یوزر پس باز نمیشه. چون مودم نمی دونه کدوم پورت مد نظر شماست
جسارتا در این خصوص من با شما مخالفم و به نظرم در حالت کلی PF بهتره
ضمنا من جمله بالا رو باهاش مشکل دارم
شما وقتی ریموت میزنی بسته ها با پورت مقصد مساوی با 3389 (در حالت معمول) تولید و ارسال میشن پس مودم که بسته رو میگیره میفهمه برای چه پورتی ارسال شده و اون رو فوروارد میکنه دیگه نیازی به زدن پورت نیست
اقا این سرما خوردگی ول کن نیست ، دوستان همه طالب علم ، 2 ساعت که استراحت میکنم ، بحث از دستم در میره.
بریم سر اصل مطلب .
جسارت چرا ؟ شما بزرگوارید .ببینید استاد گنجی ، مودمی فرض کنیم به سرور داخلی ریموت کرده به ای پی داخلی و فرضی 192.168.0.1 از پورت 2000 .این به این معنی هست : هر وقت رکوستی به مودم رسید که پورت مقصد 2000 داشت ، به ای پی 192.168.0.1 فروارد کن . این مفهوم فرواردینگه .جناب کلاهی
جسارتا در این خصوص من با شما مخالفم و به نظرم در حالت کلی PF بهتره
ضمنا من جمله بالا رو باهاش مشکل دارم
شما وقتی ریموت میزنی بسته ها با پورت مقصد مساوی با 3389 (در حالت معمول) تولید و ارسال میشن پس مودم که بسته رو میگیره میفهمه برای چه پورتی ارسال شده و اون رو فوروارد میکنه دیگه نیازی به زدن پورت نیست
حالا باز فرض کنیم ، از اینترنت بسته ی remote desktop به مودم رسیده ، طبق گفته های شما گورت مقصد معرفی نکردیم ، این رکوئست وقتی به مودم میرسه ، مودم پورت مقصد پکت رو بررسی میکنه ، چون توی جدول پورت فوروارد پورت رو نداره ، پکت رو دراپ میکنه .
گفتن این مطلب دور از ادبه ، ولی کار من جوریه که 75% با ریموت و PF , DMZ سرو کار دارم . مطالبی که گفتم چندین و چند بار عملی تست کردم.بازم اگه قانع نشدین ، بگین تا از روال کار فیلم بگیرم و بذارم اینجا تا نظر بدین . بازم معذرت می خوام که جسارت شد حضور اساتید .
قطعا همینطور هست جناب مهندس .در مورد این مسئله pf بهترین راهه
ویرایش توسط zamoova : 2011-03-30 در ساعت 02:37 AM
ببخشید من اینجا رومشکل دارم ! این پورت 2000 و ... نمیدونم داستانش جیه ضمن اینکه شما فرمودید به فلان ای پی فوروارد میشه اما با چه پورتی ؟مودمی فرض کنیم به سرور داخلی ریموت کرده به ای پی داخلی و فرضی 192.168.0.1 از پورت 2000 .این به این معنی هست : هر وقت رکوستی به مودم رسید که پورت مقصد 2000 داشت ، به ای پی 192.168.0.1 فروارد کن . این مفهوم فرواردینگه .
حالا باز فرض کنیم ، از اینترنت بسته ی remote desktop به مودم رسیده ، طبق گفته های شما گورت مقصد معرفی نکردیم ، این رکوئست وقتی به مودم میرسه ، مودم پورت مقصد پکت رو بررسی میکنه ، چون توی جدول پورت فوروارد پورت رو نداره ، پکت رو دراپ میکنه .
من یک فایروال سر کار دارم تعریف کردم اگر بهش (که ولید ای پی داره) بسته ای رسید با پورت 3389 اون رو با همین پورت فوروادر کنه به مثلا وب سروری که پشتش هست و باز هم با همین پورت
پس داستان اینطوری شد
If A Packet Comes With Dst.Port=3389 Forward it to 192.168.1.2 With The Same Port
حالا میزنم MSTSC و سپس IP ولید فایروال رو میزنم. خود این برنامه مقصد بسته ها رو برابر 3389 قرار میده و نیازی به تعیین پورت نیست (اون 2000 هم من نمیدونم اینجا کارش چیه ؟ همونی که شما مثال میزنید) بسته به فایروال میرسه که طبیعتا اجازه وورد از Ext رو نمیده ! اما میبینه در این مورد یک PF Rule یا شاید بشه بگیم DstNat وجود داره پس بسته رو با پورتی که ما بهش گفتیم به سمت وب سرور داخلی رد میکنه
ایزا هم همین رو داره دیگه ! منتها اونجا یه جورایی در Publishing این کار انجام میشه
باز هم بی سوادی بنده رو ببخشید ! بهرحال مشخصا شما از اساتید بحث امنیت تو سایت هستید جناب کلاهی
توی ویکیپدیا در مورد DMZ مطلب جالبی نوشته:
DMZ host
Some home routers refer to a DMZ host. A home router DMZ host is a host on the internal network that has all ports exposed, except those ports otherwise forwarded. By definition this is not a true DMZ (Demilitarized Zone), since it alone does not separate the host from the internal network. That is, the DMZ host is able to connect to hosts on the internal network, whereas hosts within a real DMZ are prevented from connecting with the internal network by a firewall that separates them, unless the firewall permits the connection. A firewall may allow this if a host on the internal network first requests a connection to the host within the DMZ. The DMZ host provides none of the security advantages that a subnet provides and is often used as an easy method of forwarding all ports to another firewall / NAT device.
DMZ (computing) - Wikipedia, the free encyclopedia
در مورد مفهوم اصلی DMZ حرفهای شما را قبول دارم، ولی در مورد مفهومی که توی مودم های ADSL به عنوان DMZ شناخته میشه از نظر امنیت، در سطح پایینتری نسبت به Port Forward قرار دارند (البته این نظر من هست)
خوشحال میشم که روال کار را قرار بدید و اینکه چرا PF امنیت پایینتری نسبت به DMZ داره.
جناب آقای کلاهی
ممنون میشم اگه روشی که خودتون فکر می کنید بهتره مثل فیلم یا عکس ما رو توجیح کنید .
ممنون از اینکه این تالار این قدر فعال هست
جناب گنجی ، این بخش رو می خوام با شکل توضیح بدم. به محض اینکه اماده شد ، قرار میدم .ببخشید من اینجا رومشکل دارم ! این پورت 2000 و ... نمیدونم داستانش جیه ضمن اینکه شما فرمودید به فلان ای پی فوروارد میشه اما با چه پورتی ؟
ممنون میشم اگه روشی که خودتون فکر می کنید بهتره مثل فیلم یا عکس ما رو توجیح کنید .چشم . یکم طول میکشه تا نرم افزارش رو نصب کنم و فیلم بگیرم. ولی قول میدم تا اخر هفته اماده کنم .خوشحال میشم که روال کار را قرار بدید و اینکه چرا PF امنیت پایینتری نسبت به DMZ داره.
جناب کلاهی ممنون میشم قبل از اون بحثی که میخواین با عکس توضیح بدید این بخش رو توضیح بدید و اینکه اشتباهم چیه تو این سناریو ؟من یک فایروال سر کار دارم تعریف کردم اگر بهش (که ولید ای پی داره) بسته ای رسید با پورت 3389 اون رو با همین پورت فوروادر کنه به مثلا وب سروری که پشتش هست و باز هم با همین پورت
پس داستان اینطوری شد
If A Packet Comes With Dst.Port=3389 Forward it to 192.168.1.2 With The Same Port
حالا میزنم MSTSC و سپس IP ولید فایروال رو میزنم. خود این برنامه مقصد بسته ها رو برابر 3389 قرار میده و نیازی به تعیین پورت نیست (اون 2000 هم من نمیدونم اینجا کارش چیه ؟ همونی که شما مثال میزنید) بسته به فایروال میرسه که طبیعتا اجازه وورد از Ext رو نمیده ! اما میبینه در این مورد یک PF Rule یا شاید بشه بگیم DstNat وجود داره پس بسته رو با پورتی که ما بهش گفتیم به سمت وب سرور داخلی رد میکنه
دوستان
مجددا سلام
تا زمانی که آقای کلاهی ما رو از بیانات متخصصانه خودشون بهرمند کنند یه لطفی کنید تا من بتونم به شبکه وصل بشم
جدا از مبحث امنیت من فعلا DMZ رو ست کردم تا بعد از نتیجه گیری دوستان اون را یا نگه می دارم یا تغییر می دم
ولی با وجود دادن آیپی به DMZ ولی باز هم وصل نمی شم چرا و پیام زیر رو می بینم:
[QUOTE=moj14mja;306207]دوستان
مجددا سلام
تا زمانی که آقای کلاهی ما رو از بیانات متخصصانه خودشون بهرمند کنند یه لطفی کنید تا من بتونم به شبکه وصل بشم
جدا از مبحث امنیت من فعلا DMZ رو ست کردم تا بعد از نتیجه گیری دوستان اون را یا نگه می دارم یا تغییر می دم
ولی با وجود دادن آیپی به DMZ ولی باز هم وصل نمی شم چرا و پیام زیر رو می بینم:
داداش شما این کارو کردی یا نه ؟
روی ویندوزها به طور پیش فرظ پورت مربوط به ریموت دسکتاپ 3389 میباشد ، در قسمتExternal Port / Internal Port تمام فیلدهای مربوط را 3389 تایپ کنید ، ipvalid خود را در قسمت service name وارد کنید و آی پی سیستم مورد نظرتون که میخواد ریموت بشه رو در Server IP Addresss وارد کنید. تمام.
اینتور که گفتی با کلاینتهای داخلی تونستی ریموت بشی درسته؟ پس فقط با تنظیم فورواردینگ اگه عمل کنی راه میوفته اگه نشد یه عکس از قسمت فورواردینگ بزار ببینم داستان چیه.
ممنون
من گفتم که فعلا DMZ رو تنظیم کردم
تو DMZ هم که اصلا portنمی خواد من فقط آیپی سرور خودم را به مودم دادم
دیر کردم ولی دست پر اومدم.به شکلی هم که کشیدم گیر ندین ، نقاشیم افتضاحه.
مراحل زیر شما رو قدم به قدم راهنمایی میکنه اقای جوادی .من گفتم که فعلا DMZ رو تنظیم کردم
تو DMZ هم که اصلا portنمی خواد من فقط آیپی سرور خودم را به مودم دادم
این شمای کلی و ساختار منطقی شبکه ی ماست :
با عکس کانفیگ روتر خودم شروع میکنم :
همانطور مه می بینین در DMZ احتیاج به پورت باز کردن نیست . فقط ای پی سرور داخلی رو می نویسیم و تمام. نه به پورت 3389 نیاز
هست ، نه چیز دیگه ای . ( قابل توجه اقای جوادی ، این جواب سوال شما ) . البته ، این نقص امنیتی که مستقیم به سرور وصل باشه ،
لذا بهترین و اسان ترین راه اینه که یک کامپیوتر پنتیوم تری بزاریم سر راه و یک Proxy server روش سوار کنیم . یک کارت شبکه ی اضافی هم
تصب می کنیم ، جهت اتصال سنسور IDS که دیگه واردش نمی شیم .
توضیح : در این حالت ، روتر نمی دونه تل نت میاد بهش یا FTP یا HTTP با.... هر چی میاد ، مستقیم میره به 192.168.1.10 ( در این حالت ).
حالا PF رو بحث میکنیم : به شکل زیر دقت کنیم :
تو شکل یک فیلد IP دیده میشه و یک فیلد پورت . پورت رو برای مثال روی 2000 تنظیم کردم . این یعتی چی؟ دقیقا یعنی اینکه
اگر بسته ای به پورت 2000 ارسال بشه ، روتر اونو به ای پی 192.168.1.10 فوروارد میکنه .
برای مثال : وقتی از تهران وصل میشن برای اپدیت نرم افزاری شبکه ی ما ، چون بیشتر از یک سرور داریم ، از PF استفاده میکنیم .
اونا بصورت x.y.w.z با پورت 2000 به سرور وصل میشن .
بررسی امنیتی دو سولوشن :
همانطور که توضیح دادم ، در DMZ پورتی روی روتر باز نمیشه ، فقط روتر هرچی میاد دستش فوروارد میکنه رو ای پی DMZ ،
اینو اگه روتر رو اسکن کنید متوجه میشید . ولی در PF پورت باز روی روتر دیده میشه . دلیل اینکه در تمام کتاب ها و داکیومنت ها
از DMZ به عنوان اولین سولوشن برای عبور از گیت وی مرزی به داخل شبکه ی Public استفاده میشه همین هست .
توجه کنیم وقتی از DMZ استفاده کنیم که با یک ای پی به یک کلاینت وصل میشیم .
از روتر تا سرور یک فایروال داریم .
PF رو زمانی استفاده کنین که ریموت شما موقتی هست .
با یک ای پی باید به بیش از یک کلاینت درونی ریموت کنین .
فایروال درونی ندارین .
در اخر هم 2تا نکته رو متذکر بشم :
1. بخاطر غلط های املایی معذرت می خوام .
2. اگه سوالی بود ( که حتما هست ) ، شبکه مرجع رو ، شکل اول قرار بدید تا بهتر متوجه سوالات بشم .!
سلام آقای کلاهی
نمیدونم چشمای من ضعیف اند یا شکل شما خیلی کوچیکه ولی اگه لطف کنید تصویر رو کمی بزرگتر کنید میتونیم با هم بحث کنیم
ممنون
وقتی نصف شب پست بزنم ، همین میشه . شرمنده ی همه ی دوستان .
[/IMG]
سلام.
خوب اون طور که من برداشت کردم این دوستمون هم فایروال درونی نداره.
جدا از این اگه بحث روی اینه که از DMZ روی فایروال داخلی (مثل ISA) استفاده بشه یا PF روی مودم؛ خب قطعا DMZ بهتره.
ولی اگه بحث روی اینه که DMZ روی مودم باشه یا PF روی مودم؛ من فکر کنم PF راه حل بهتری باشه.
من فکر کنم مشکل بحث شما با آقای گنجی اینه که شما دارید در مورد DMZ روی ISA صحبت میکنید و آقای گنجی در مورد DMZ روی مودم صحبت میکنند که اگه این موضوع صحیح باشه میشه گفت هر دوی شما درست می فرمایید.
ببخشید که توی بحث اساتید دخالت کردم.
من هم به اندازه ی فهم و سواد خودم صحبت میکنم اگه اشتباه میکنم شما به بزرگی خودتون ببخشید.