پورتهای 135,139,445,593 TCP و 1434 UDP رو ببند. همين!
در مورد NAT قبلا صحبت شده. يه جستجوی کوچيک توی همين Forum بکنی بدک نيست. Network Address Translation
پورتهای 135,139,445,593 TCP و 1434 UDP رو ببند. همين!
در مورد NAT قبلا صحبت شده. يه جستجوی کوچيک توی همين Forum بکنی بدک نيست. Network Address Translation
پيشنهاد مي كنم بحث رو همين جا متوقف كنيم..
داره خيلي طولاني مي شه..
بحث امنيت رو به چند بخش ميكنيم..
ميشه زير مجموعه شبكه.
صادق جان. اجازه بده ادامه بديم. يه کم بريم جلو.
بزودی اين کار رو انجام خواهيم داد.
آقا به نظر من اگه بشه تا فردا پس فردا يه بخش درست كنيد خيلي بهتره چون تا فضا امادست ميشه زود رديفش كرد.
شماره پورتهايي رو كه بايد بسته شن رو نوشتيد، اگر درخواست بزرگي نيست يكي نوشته رو تكميل كنه و نحوه يا دستورات بستن پورتها رو هم بگه.
اگه بخواهي تو روتر ببندي بايد از اين دستورات استفاده كني.
اول بايد يه access-group تو اينترفيس روتر ايجاد كني.
in , out نشانه ورود و خروج است.
ip access-group 112 in
ip access-group 112 out
بعد شروع مي كني به بستن پورتها
access-list 112 deny udp any any eq tftp
access-list 112 deny tcp any any eq 135
access-list 112 deny udp any any eq 135
access-list 112 deny udp any any eq netbios-ns
access-list 112 deny udp any any eq netbios-dgm
access-list 112 deny tcp any any eq 139
access-list 112 deny udp any any eq netbios-ss
access-list 112 deny tcp any any eq 445
access-list 112 deny tcp any any eq 593
access-list 112 deny tcp any any eq 4444
access-list 112 deny udp any any eq snmp
access-list 112 deny udp any any eq snmptrap
access-list 112 deny udp any any eq 1434
وقتي كه اين دستورات رو نوشتي اين كامند رو هم وارد كن.
access-list 112 permit ip any any
بابا Delphan جان خودت هم يه كم تلاش بكن اين چيز هارو راحت ميشه پيدا كرد.
بابک جان، ما نياز به يه حرکت دائمی داريم نه يه هجوم زود گذر!
اگه اين حرکت دائمی شد و بحث ها ادامه پيدا کرد، براش يه بخش اختصاصی هم آماده ميکنيم. بايد ببينيم استقبال ازش چقدره.
و اما جناب Delphan ، همونطور که بابک عزيز گفت راهش حرکت کردن خودته. نه اينکه لقمه آماده بخوای!
مثلا برو تحقيق کن ببين اين پورت ها هر کدوم برای چی بايد بسته بشوند.
[QUOTE=koorosh]بابک جان، ما نياز به يه حرکت دائمی داريم نه يه هجوم زود گذر!
اگه اين حرکت دائمی شد و بحث ها ادامه پيدا کرد، براش يه بخش اختصاصی هم آماده ميکنيم. بايد ببينيم استقبال ازش چقدره.
=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
كاملا موافقم ولي كورش جان امنيت چيزي نيست كه بحص هاي شيرين و اموزنده توش كم باشه. ولي خوب حرف شما هم كاملا درسته وحالا بچه ها بايد تلاش كنند و اين بحص امنيت رو بجايي برسونند كه ثابت بشه نياز به
يك بخش جدا داره اون وقط روش اقدام بشه.
من خودم 2-3 بار در مورد روش ست كردن Nat روي روتر نوشتم. بگرد پيدا مي كني. اگه نيافتي بگو دوباره همينجا بزارم.
بابا نزنيد. از دستم در رفت نوشتم.نوشته اصلی توسط !!!!!!!!!!!!!!!
در ضمن من اين اكسس ليست ها رو بلدم براي محدود كردن روتر و امنيت اون بكار ميره.
فكر كردم منظور شما بستن پورت روي سرور است.
البته از ايني كه نزد و نوشت تشكر ميكنم.
برای nat تو روتر تو باید چهارتا کار رو انجام بدی.
1-کارتهای داخلی و خارجی رو باید انتخاب کنی. معمولاٌ کارت سریال رو به عنوان کارت خارجی( متصل به اینترنت) و کارت اینترفیس رو به عنوان کارت داخلی انتخاب می کنند.
پس دستورات برای مرحله اول بدین شکل است.
Conf t
Interface Ethernet 0
Ip nat inside
Interface serial 0
Ip nat outside
2- ip address مربوط به هرکدوم از کارتهارو تعیین میکنیم.
Conf t
Interface Ethernet 0
Ip address 192.168.1.1 255.255.255.0
Interface serial 0
--------------------- Ip address
3- حوزه nat رو مشخص می کنیم.
Conf t
Ip nat pool example 192.168.1.1 192.168.254.254 netmask 255.255.255.0
4- فهرست دسترسی ایجاد میکنیم.
Conf t
Access-list 1 permit 192.168.0.0 0.0.0.255
Ip nat inside source list 1 pool example
حتماً علت هر كدوم رو براي خودت هم توضيح بده تا خوب متوجه مطلب بشي.
موفق باشي
سلام به همهنوشته اصلی توسط Delphan
من با روتر تا حالا كار نكردم ولي براي بستن پورتها توي ويندوز من اينكارو مي كنم:
از Lan Connection يه Properties مي گيرم و توي تنظيمات TCP/IP در قسمت Advanced و فکر کنم در لبه Security شماره پورتهايي رو که مي خواهي ببندي يا باز بداري رو وارد ميکنم.
اگه کسي نظري داره بگه تا ببينم اين کار موثر هست يا نه؟؟؟
ممنون مي شم اگه دز اين مورد بيشتر توضيح بديد.
a_arabbeigi@yahoo.com
ویرایش توسط a_arabbeigi : 2004-02-18 در ساعت 12:01 AM
سلام آقا مهدي. يه خورده مشكلات داري
در مورد Nat Pool بيشتر بگو. Ip هاي Invalid چرا استفاده كردي.
تو پرانتز خودمونيم اين تنظيمات مشكل اساسي و جدي داره . كاركن نيست.
به صورت زير اصلاح مي كنم.
In s0
ip add "a valid Ip address"+"correct subnet mask"
ip nat inside
in e0
ip address 192.168.0.1 255.255.255.0
ip nat inside
ip nat inside source list 1 in s0 overload
access-list 1 permit 192.168.0.0 0.0.0.255
اين تنظيمات براي overload كردن روي IP يك اينترفيس هست .
آقايون سلام
با چيزايي كه تا حالا فهميدم مي خوام يه كش سرور با CacheXpress LT نصب کنم.
حالا 2 تا سوال دارم يک اينکه مي تونم رو کش , فابروال هم نصب کنم يا اينکه حتما بايد روي 2 تا سيستم جدا نصب کنم و 2 اينکه براي سيستم عامل از چه ويندوزي استفاده کنم؟ منظورم 2000 يا 2003 هست البته ايم رو هم بگم که بيشتر مايلم از 2003 استفاده کنم !کسي مي تونه راهنمايي کنه؟
در ضمن به سوالات قبلي هم اگه جواب بديد , منو کلي شرمنده کرديد.منتظر جوابتون هستم.