route یک طرفه است یا دوطرفه؟
سلام خدمت دوستان
من تازه دارم خودآموز شبکه یاد میگیرم.
الان واسه خودم یه پروژه route نوشتن تمرین میکردم که میخواستم توش مثلا شبکه مدیران به انبار دسترسی داشته باشه ولی برعکس نه.(دسترسی رو با ping چک میکنم:-))
میخواستم بدونم چنین چیزی ممکنه؟
البته من روت هارو استاتیک نوشتم . الان تو تصویری که ارسال میکنم. برای روتر 4 و روتر 6 روت رو نوشتم
ip route 192.21.221.0 255.255.255.0 192.168.60.1
ip route 192.21.221.0. 255.255.255.0 192.168.30.2
همین دوتا روت برای ارسال به شبکه انبار کافی نیست؟(چون روتر سه خودش مستقیما به 192.21.221.0 وصله دیگه)
با این دوتا رووت نمیتونم انبار رو از طرف مدیران ping کنم ولی وقتی برای روتر 3 هم روت
ip route 192.168.70.0 255.255.255.0 192.168.30.1 رو مینویسم ping بررای مدیر به انبار برقرار میشه ولی متاسفانه برای انبار به مدیر هم برقرار میشه.
چطوری این مساله رو حل کنم؟
اصلا میشه روت رفت و بازگشت رو جداگانه نوشت؟(انگار قبلا شنیدم میشه با دستور:
route [ip shabake morede nazar] dst [ip avalin portr outer baadi] gw
با این دستور روت های رفت رو بنوییسیم ولی براشون بازگشت ننویسیم؟
12 پاسخ
مچکرم. لینک اموزش رو حتما بررسی خواهم کرد ولی بدون acl امکان پذیر نیست؟
و اینکه ping دوطرفه است؟
برای سناریوی شما بهترین راه استفاده از ACL است اما روش های دیگه مثل استفاده از فایرول هست و اینکار رو براتون انجام میده
برای این مدل سناریوها خیلی راحت میشه با ACL اینکار رو انجام داد
یه نمونه رو مثال میزنم تصویر زیر رو ببنید
حالا می خوایم از طریق PC0 بتونیم دستگاه PC1 رو ping بگیریم و برعکسش قابل انجام نباشه به همین منظور acl زیر رو بکار میبریم
ip access-list extended test permit icmp 192.168.1.0 0.0.0.255 192.168.0.0 0.0.0.255 echo-reply interface FastEthernet0/1 ip access-group test in
البته روش های مختلفی وجود داره که میشه اینکار رو با استفاده از ACL انجام داد فقط این نمونه رو اینجا گذاشتم که ببینید میشه اینکار رو با ACL انجام داد
دوست عزیز گارد نگیرید
لطفا به سناریو نگاه کنید این موضوع داره درpacket tracer انجام می شه و کاربر دارند تازه وارد دنیای شبکه میشند،در این سطح کاربر اطلاعی از اون مواردی که شما می فرمایید ندارند،مطلب شما درسته و من قصد ندارم firewall رو با ACL رقابتی جلوه بدم و بعد هم اینکه لطفا راهنماییشون کنید
موفق باشید
پاسخ شما ACL می باشد که دوستان مهندس قنبری و nmaxi زحمتشو کشیدن
Firewall و داستان های Stateful و Refexive ACL,Stateless ... اینا رو نمی خواد فعلا
کاش دوستان بیان نمیکردن تا سبب سردرگمی نشه
اما پیشنهاد میکنم در مورده Session ها مطالعه کنین هم میشه گفت یه چیزه مبانی و مورده نیازه هم خیلی کاربردیه و کاملا تئوری
فقط در موردش بدونین کافیه
راه حل استفاده از ACL هست از لینک زیر می تونید با این بحث آشنا بشید
دوست عزیز استفاده از ACL جواب نمی دهد،به دلیل اینکه ACL به صورت State less هستش و فایروال به صورت state full کار میکند،یعنی شما نمی توانید در ACL بگید host A به host b دسترسی داشته باشد ولی بالعکس ارتباط بر قرار نباشد،مثال شما وقتی یک ping رو به از host A به host B ارسال میکنید یک echo packet از A ارسال میشود به B درسته؟ خب در اینجا این packet با موفقیت به دست host B خواهد رسید چون ACL اینجا این دسترسی را باز گذاشته است،خب echo packet به دست B رسید و اون وظیفه دارد Reply packet را به A ارسال کند،خب حالا سوال اینجاست که در مسیر برگشت شما ACL رو قرار دادید و این ارتباط را قطع کردید و این packet به A نخواهد رسید.
خب حالا اگر در فایروال این روند به چه صورتی می باشد؟شما مسیر ارتباط(Direction) رو از B به A بستید ولی A به B باز هستش،شما وقتی ping را از A به B ارسال می کنید پکت در مسیر به فایروال میرسد و فایروال با Rule ها چک می کند و چک می کنه که A به B دسترسی دارد و پکت رو عبور می دهد،خب پکت به B میرسد و B باید جواب بدهد و یک Reply packet ارسال میکند و این پکت مجدد به فایروال خواهد رسید خب فایروال چک میکند که B به A دسترسی ندارد پس آیا پکت را drop می کند و یا اجازه عبور میدهد؟فایروال پکت را عبور می دهد،اما چرا؟
جواب اینجاست که پکتی که از B به A ارسال شده است در حقیقت یک Session بوده است که آغاز کننده آن A بوده و فایروال از کجا متوجه شد؟ دلیل این هستش که فایروال session رو مانیتور کرده است و کاملا به این موضوع آگاه هستش
که این پکتی که از B به A ارسال شده است در حقیقت جواب A بوده است(Current Session) و اگر شما یک ping از B به A ارسال کنید،فایروال پکت شما را drop خواهد کرد،چرا؟چون در این مورد آغاز کننده session یا new session از سمت B بوده و فایروال با rule های خودش چک می کند و متوجه می شود که باید این پکت drop شود.
لطفا تفاوت ACL با Firewall رو درک کنید،چون این موضوع در آینده به شدت برای شما کارایی خواهد داشت.
موفق باشید
دوست عزیز سلام
همونطور که دوستان کفتن بدون ACL امکان نداره.
و یا اینکه میتونید از Policy-based routing استفاده کنی در اونجا باز هم به ACL بر میخوری.
لینکی که در پست اول این بحث گذاشتم به صورت کامل طی چند ویدیو مبحث ACL را توضیح دادم
ACL یکی از قویترین ابزارهایی هست که توی بحث فیلترینگ ترافیک می تونه به ما کمک کنه حتی Reflexive ACL میاد به صورت stateful عمل می کنه و نیاز مارو توی این زمینه برآورده می کنه
استفاده از ACL به هنر فرد برمی گرده که بتونه چطوری از این ابزار استفاده کنه
من قصد گارد گرفتن ندارم در پست اولم اینو نوشتم "همونطور که مهندس قنبری فرمودند برای این کار باید از ACL استفاده کرد و در اون نوع کانکشن رو مشخص کرد یعنی به یه طرف اجازه Stablished Connection داد که برای شروع, مبحث پیچیده ای هست "
کامل بخونید اشاره کردم واسه شروع این مبحث پیچیده هست
بحث من در این بود که شما فرمودید با ACL نمیشه این کارو کرد و اومدید از stateful firewall صحبت کردید که پیچیده تر از پیشنهاد من بود!
جناب m.sho8 میشه توضیح بدید ما هم یاد بگیریم که معنی established در ACL و کاراییش چی هست؟
میشه نحوه کار اون stateful firewall رو هم در این سناریو توضیح بدید؟ دقیقا چیا کانفیگ کنیم در روتری که ایمیج advanced enterprise داره؟ و تقریبا هر کاری میشه باهاش کرد
اگه با روتر نمیشه تنظیماتشو با ASA 5520 توضیح بدید
شما گفتید با ACL نمیشه این کارو کرد واسه همین می پرسم چطوری میشه این کارو کرد با چه ابزاری در IOS و چه دستوراتی
و اینکه در Named Extended ACL اگه پروتکل رو TCP انتخاب کنیم در آخر گزینه هایی مثل Ack, FIN, Syn, established میاد, کاربرد اینا در کجاس دقیقا؟!
نمیشه روت یک طرفه نوشت. چون وقتی پینگ می کنید یه سیستم رو باید جواب پینگ یجوری برگرده به سیستم درخواست پینگ کننده
این مبحث که شما میگید اعضای یک شبکه بتونن شبکه دیگرو ببینن ولی اعضای شبکه دیگه نتونن این اعضا رو ببینن! واسه کسی که شبکه رو تازه شروع کرده به خوندن خیلی پیشرفته تر هست
همونطور که مهندس قنبری فرمودند برای این کار باید از ACL استفاده کرد و در اون نوع کانکشن رو مشخص کرد یعنی به یه طرف اجازه Stablished Connection داد که برای شروع, مبحث پیچیده ای هست