السلام عليكم احبتي

هل من طريقة لعمل Access-list لمنع ال youtube وكذلك ال Matacafe عن طريق الراوتر تعرفون انتم هناك عدد لا يحصاء من ال IP لهذين الموقعيين

ارجو المساعدة اخوتي

بسم الله والحمد لله والصلاة والسلام علي رسول الله وآله وصحبه وإخوانه أجمعين:



بارك الله فيك وفي أهل العراق وفي بغدادي حبيبتي التي ما عشت فيها ولكنها عاشت في وأسأل الله عز وجل أن يحفظها وأن أراها سعيدة كما كانت...آمين.



تمام انظر بارك الله فيك هذا الموقع



https://www.arin.net (https://www.arin.net/)



هنا تبحث عن الأيبيهات التي يأخذها موقع معين مثل اليوتيوب فعندما تكتب في البحث youtube

في صندوق البحث أعلي الصفحة whois search

تظهر لك الأبيهات كالتالي إن شاء الله:
208.65.152.0 - 208.65.155.255 تمام؟

طيب دلوقتي المشكلة اننا عايزين نحسب الwildcard mask

طيب لو تلاحظ معايا ان الاوكتات التالت بيبدأ من 152 إلي 155 يعني ايه يعني الفاكتور 4 صح؟

بس خلي بالك احنا لما بنيجي نحسب الفاكتور وكانت الشبكة مثلا بدايتها 152 والفاكتور 4 بنقول ايه؟

بنقول إن شاء الله إن الشبكة بدايتها 152 ونهايتها 155 ليه؟

علشان 156 ده اسم الشبكة اللي بعدها تمام ؟

خلاص يعني دلوقتي نقسم الرانج إلي الأتي إن شاء الله:

152-155 وبالتالي الsubnet mask ايه؟ 255.255.252.0 ايه ده يعني الwildcard mask كام ؟ 0.0.3.255



خير إن شاء الله



وعلي كده نعمل acl إن شاء الله.

افترض إن شاء الله انك عايزتمنع الشبكة ديه مثلا 192.168.10.0تمام؟ ده بس مجرد مثال وانت تحط اسم الشبكة اللي انت عايز تمنعها إن شاء الله:



access-list 150 deny ip 192.168.10.0 0.0.0.255 208.65.152.0 0.0.3.255














access-list 150 permit ip any any








R(confgi-if)# ip access-group 150 in




وبالنسبة لل metacafe نفس الكلام إن شاء الله سبحانه وتعالي

بس عن تجربة صراحة يعني

الراجل الit اللي كان في الشركة اللي كنت شغال فيها صراحة كان حيشد في شعره كل اما يقفل الyoutube بفضل الله سبحانه وتعالي كنت بفتحه بالبروكسيات اخر اما زهق مني قطع علية المية والنور مبقاش شغال عندي غير الoutlook بس سبحان الله.

الحمد لله

وده برنامج علشان تجر الacl قبل ما تحطها علي الراوتر إن شاء الله البرنامج حجمه بسيط جداً بس ما شاء الله لا قوة إلا بالله:

https://www.arabhardware.net/forum/showthread.php?t=186751



وجرب كده ونبقي نتناقش إن شاء الله انت وصلت لإيه

ولا تنسني من صالح الدعاء

وصلي الله وسلم وبارك علي المصطفي وآله وصحبه وإخوانه أجمعين.

السلام عليكم

اخي العزيز اني ما اعرف شلون اشكرك على هذا الشرح الوافي واخلاقك الطيبة بس والله اني لمن قرات الجواب ابقيت اردد بالدعاء لك والى عائلتك هذا ابسط شي ممكن اقدمه الك على مجهودك ووقتك بارك الله فيك ياطيب ابن الطيبيين.

بسم الله والحمد لله والصلاة والسلام علي رسول الله وآله وصحبه وإخوانه أجمعين:
ربنا يبارك فيك وفي أهل السنة جميعاً
وصلي الله وسلم وبارك علي المصطفي وآله وصحبه وإخوانه أجمعين.

لو عندك ASA هيكون سهل اوى تعمل علية الحاجات دية

لا يوجد عندي ASA فقط يوجد عندي Router and Switch layer 3

تمت التجربة ولم يعمل ACL
برجاء مراجعة الاعدادات من على جهاز الراوتر تبعي
HO-Net#sh running-config

Building configuration...

Current configuration : 1905 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname HO-Net
!
boot-start-marker
boot-end-marker
!
enable password nesmaisp
!
no aaa new-model
!
resource policy
!
mmi polling-interval 60
no mmi auto-configure
no mmi pvc
mmi snmp-timeout 180
ip subnet-zero
ip cef
!
!
no ip dhcp use vrf connected
!
!
ip name-server X.X.X.X
ip name-server X.X.X.X
vpdn enable
vpdn ip udp ignore checksum
!
vpdn-group pppoe
request-dialin
protocol pppoe
ip mtu adjust
!
!
!
!
!
interface FastEthernet0/0
ip address 85.X.X.X 255.255.255.0
ip access-group Video in
ip tcp adjust-mss 1452
duplex auto
speed auto
hold-queue 100 out
!
interface FastEthernet0/1
no ip address
duplex auto
speed auto
!
interface ATM0/1/0
no ip address
ip access-group A out
no atm ilmi-keepalive
dsl operating-mode auto
!
interface ATM0/1/0.1 point-to-point
ip access-group A out
pvc 0/35
pppoe-client dial-pool-number 1
!
!
interface Dialer0
no ip address
shutdown
!
interface Dialer1
ip address negotiated
ip access-group A out
encapsulation ppp
ip tcp adjust-mss 1400
dialer pool 1
dialer-group 1
ppp authentication pap chap callin
ppp chap hostname rccho2@4096.corp.nesma.net.sa
ppp chap password 0 112233
ppp pap sent-username rccho2@4096.corp.nesma.net.sa password 0 112233
!
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer1
!
ip http server
!
ip access-list extended A
deny ip 85.X.X.X 0.0.0.255 208.65.152.0 0.0.3.255
permit ip any any
ip access-list extended Video
deny ip 192.168.1.0 0.0.0.255 208.65.152.0 0.0.3.255
deny ip 192.168.1.0 0.0.0.255 12.191.255.128 0.0.0.31
deny ip 192.168.1.0 0.0.0.255 12.191.255.160 0.0.0.31
permit ip any any
!
!
control-plane
!
!
line con 0
line aux 0
line vty 0 4
password cisco
login
!
end

بسم الله والحمد لله والصلاة والسلام علي رسول الله وآله وصحبه وإخوانه أجمعين

أخي الكريم ضع الـ A extended acl علي الـin وليس الـout في الكونفجريشن اللي حضرتك وضعته

interface ATM0/1/0
no ip address
ip access-group A out
no atm ilmi-keepalive
dsl operating-mode auto
!
interface ATM0/1/0.1 point-to-point
ip access-group A out
pvc 0/35
pppoe-client dial-pool-number 1
!
!
interface Dialer0
no ip address
shutdown
!
interface Dialer1
ip address negotiated
ip access-group A out


والله أعلي وأعلم
ولو فيه خطأ رجاء من الإخوة التصحيح بارك الله فيكم

وصلي الله وسلم وبارك علي المصطفي وآله وصحبه وإخوانه أجمعين.

حقيقة والله إبداع

جزيت خيرا

لو وضعت في مثل هذا الموقف لكنت أبتعدت عن سيسكو لحل هذه المشكلة كنت أولا أعتمدت على حلول مايكروسوفت وخصوصا لو كان هناك دومين للشبكة فببساطة أستطيع أن أعدل على ملف الـ Host الموجود على المسار التالي c:\windows\sytem32\drivers\etc
وقمت بأضافة سطر إليه



127.0.0.1 www.youtube.com

وظيفة هذا الملف هو عمل Mapping بين الأيبي وأسم الموقع لكن بشكل يدوي يعني بتقدر تقول عنه DNS Static وبالتالي أي طلب لهذا الموقع سوف يتم تحويله إلى 127.0.0.1 لان أول مكان يلجأ إليه الجهاز لمعرفة الأيبي هو ملف الهوست فأن لم يجد طلبه أرسل إلى الـ DNS وبالتالي منعنا المستخدمين من الوصول إلى موقع اليوتيوب تماما وخصوصا لو كانت الصلاحيات المعطاة لهم على الأجهزة هي صلاحيات User أما لو كان الجميع يملك صلاحيات administrator ولديهم خبرة جيدة مع أنظمة مايكروسوفت عندها نتجه إلى سيسكو

أما الحل الثاني الذي أقترحه على أجهزة سيسكو هو من خلال الـ policy-map وهذه هي الأوامر اللازمة


Router>en
Router#conf t
Router(config)#class-map match-any YouTube_Request
Router(config-cmap)#match protocol http host www.youtube.com (https://www.youtube.com/)
Router(config-cmap)#exit
Router(config)#policy-map Block_YouTube
Router(config-pmap)#class YouTube_Request
Router(config-pmap-c)#drop
Router(config-pmap-c)#exit
Router(config)#interface FastEthernet0/0
Router(config-if)#service-policy output Block_YouTube
Router(config-if)#end


طبعا الـ FastEthernet0/0 هو المنفذ المتصل مع الأنترنت
أما لو قررت اللجوء إلى الأكسس ليست فأنا أفضلها بهذا الشكل

Router>en
Router#conf t
Router(config)#access-list 101 deny tcp any host 208.65.155.255 eq www
Router(config)#access-list 101 permit ip any any
Router(config)#interface FastEthernet0/0
Router(config-if)#ip access-group 101 out
Router(config-if)#end

مع ملاحظة أن الأيبي 208.65.155.255 هو أيبي موقع اليوتيوب

بسم الله و الحمد لله والصلاة والسلام علي رسول الله وآله وصحبه وإخوانه أجمعين

جزاك الله خيراً يا بشمهندس أيمن، لي ملاحظتين:
1-


Router>en
Router#conf t
Router(config)#access-list 101 deny tcp any host 208.65.155.255 eq www
Router(config)#access-list 101 permit ip any any
Router(config)#interface FastEthernet0/0
Router(config-if)#ip access-group 101 out
Router(config-if)#end

مع ملاحظة أن الأيبي 208.65.155.255 هو أيبي موقع اليوتيوب




ان اليوتيوب لا يستخدم ايبي واحد بل يستخدم رانج من الابيهات وهذا حسب موقع arin كما ذكرت في أول مشاركة


https://www.arin.net (https://www.arin.net/)



هنا تبحث عن الأيبيهات التي يأخذها موقع معين مثل اليوتيوب فعندما تكتب في البحث youtube

في صندوق البحث أعلي الصفحة whois search

تظهر لك الأبيهات كالتالي إن شاء الله:
208.65.152.0 - 208.65.155.255 تمام؟


2- الأمر الاخر الذي يجب الإنتباه إليه أنه بمنعنا موقع اليوتيوب فإننا لم نمنع البروكسيات وده اللي خالي الراجل الأي تي في الشركة كان حيشد في شعره مني اخر ما زهق قام قاطع عني المية والنور مابقاش شغال غير الـoutlook فقط
وفي رأيي ان منع البروكسيات عن طريق مايكروسوفت لا يقارن بسيسكو نظرا للكم الرهيب من الايبيهات التي تستخدمها هذه البروكسيات ونظراً لوجود البرامج التي مهمتها فقط البحث عن البروكسيات الجديدة وحفظها في قاعدة بيانات ضخمة بل ، وطبعا مع انتشار شبكة التور اصبح من الصعب جدا حتي منع التور والله أعلم، أضف الي ذلك التقنية الجديدة التي يعتمد عليها التور وهي لو قامت الدولة بمنع شبكة التور فان هناك الكثير من المتطوعين الذين يقومون بتقديم سيرافراتهم الخاصة للاستخدام كبريدجات تقوم بالاتصال بها ومن ثم الاتصال بالتور، و طبعا هذه البريدجات ليست أمنة مائة بالمئة

نقطة أخيرة أخي أيمن بارك الله فيك ارجو التعليق علي الكونفجريشن الذي وضعه الأخ akram_fetyan (https://www.arabhardware.net/forum/member.php?u=10425) لمعرفة أين المشكلة إن شاء الله
جزاك الله خيرا
وصلي الله وسلم وبارك علي المصطفي و آله وصحبه وإخوانه أجمعين.

بعتقد شباب opendns حل معقول فى مثل هذة المواقف :

https://www.opendns.com/

:rolleyes::rolleyes:

بسم الله و الحمد لله والصلاة والسلام علي رسول الله وآله وصحبه وإخوانه أجمعين

جزاك الله خيراً يا بشمهندس أيمن، لي ملاحظتين:
1-

ان اليوتيوب لا يستخدم ايبي واحد بل يستخدم رانج من الابيهات وهذا حسب موقع arin كما ذكرت في أول مشاركة




جرب هذه الطريقة وأن لم تنفع عندها قم بكتابة الأيبيات جميعها وهناك نقطة لم أفهمها من الموقع الذي وضعته فأنا قمت بكتابة youtube وظهر لي نفس الرانج الذي كتبته وعندما أستخدمة أحد الأيبيات من المتصفح لم يفتح معي أي شيء والبنج من جهازي يعطيني أيبي آخر ومن خارج الرانج الذي يقدمه الموقع السابق 74.125.95.93


Router(config)#access-list 101 deny tcp any host www.youtube.com (https://www.youtube.com) eq 80




[/QUOTE]


2- الأمر الاخر الذي يجب الإنتباه إليه أنه بمنعنا موقع اليوتيوب فإننا لم نمنع البروكسيات وده اللي خالي الراجل الأي تي في الشركة كان حيشد في شعره مني اخر ما زهق قام قاطع عني المية والنور مابقاش شغال غير الـoutlook فقط
وفي رأيي ان منع البروكسيات عن طريق مايكروسوفت لا يقارن بسيسكو نظرا للكم الرهيب من الايبيهات التي تستخدمها هذه البروكسيات ونظراً لوجود البرامج التي مهمتها فقط البحث عن البروكسيات الجديدة وحفظها في قاعدة بيانات ضخمة بل ، وطبعا مع انتشار شبكة التور اصبح من الصعب جدا حتي منع التور والله أعلم، أضف الي ذلك التقنية الجديدة التي يعتمد عليها التور وهي لو قامت الدولة بمنع شبكة التور فان هناك الكثير من المتطوعين الذين يقومون بتقديم سيرافراتهم الخاصة للاستخدام كبريدجات تقوم بالاتصال بها ومن ثم الاتصال بالتور، و طبعا هذه البريدجات ليست أمنة مائة بالمئة


موضوع البروكسيات ليس لها حل إلا الحل الذي قام به المسؤول عندك وهو قطع الميه والنور




نقطة أخيرة أخي أيمن بارك الله فيك ارجو التعليق علي الكونفجريشن الذي وضعه الأخ akram_fetyan (https://www.arabhardware.net/forum/member.php?u=10425) لمعرفة أين المشكلة إن شاء الله
جزاك الله خيرا
وصلي الله وسلم وبارك علي المصطفي و آله وصحبه وإخوانه أجمعين.


أعتقد أن المشكلة من الأيبي لان أعتقد أن الرانج الذي وضعه الموقع السابق غير صحيح والله أعلم

بسم الله والحمد لله و الصلاة والسلام علي رسول الله وآله وصحبه وإخوانه أجمعين:

بالنسبة للأيبي اللي ظهر لك فده جوجل والله أعلم، هوه عندنا في مصر مختلف يعني لو كتبته في البروسر حيوديك علي جوجل إن شاء الله.
ولو فتحت موقع whois حتلاقي فعلا ان الايبي ده متسجل لجوجل


Whois Search Results

https://domains.whois.com/getImage.php?src=collapse.gif Domain Name : 74.125.95.93


#
# Query terms are ambiguous. The query is assumed to be:
# "n 74.125.95.93"
#
# Use "?" to get help.
#

#
# The following results may also be obtained via:
# https://whois.arin.net/rest/nets;q=74.125.95.93?showDetails=true&showARIN=false
#

NetRange: 74.125.0.0 - 74.125.255.255
CIDR: 74.125.0.0/16
OriginAS:
NetName: GOOGLE
NetHandle: NET-74-125-0-0-1
Parent: NET-74-0-0-0-0
NetType: Direct Allocation
NameServer: NS2.GOOGLE.COM
NameServer: NS3.GOOGLE.COM
NameServer: NS4.GOOGLE.COM
NameServer: NS1.GOOGLE.COM

ولو بحث بالاسم عن youtube حيظهرلك ان اليوتيوب واخد السيرفيرات ديه من علي سيرافيرات جوجل إن شاء الله

Whois Search Results


Domain Name : youtube.com



Domain servers in listed order:

ns4.google.com
ns1.google.com
ns2.google.com
ns3.google.com

بس الاكسس ليست اللي انت وضعتها فيها برضوا مشكلة


Router(config)#access-list 101 deny tcp any host www.youtube.com (https://www.youtube.com/) eq 80انت انت منعت البراوسينج فقط بس لسة الداونلود من اليوتيوب مفتوح

النقطة الاخيرة انا اري ان الخطا في الكونفجريشين بتاع الأخ انه حاطط الاكسس ليست علي الout والمفروض ان هية تتحط علي الـin علشان هية extnded والله أعلم

ايه رأيك في الكلام ده
وصلي الله وسلم وبارك علي المصطفي وآله وصحبه وإخوانه أجمعين.

انا منعت المستخدمين من الوصول إلى الموقع وبالتالي هما مش حيقدروا يحملوا أي شيء
بالنسية للأعدادت فأنا لا أعتقد أن المشكلة من الـ in أو الـ out لان هو وضع الـ out على الانترفيس المتصل مع الأنترنت وفي نفس الوقت وضع الـ in على الأنترفيس المتصله مع الأجهزة الداخلية

بسم الله والحمد لله و الصلاة والسلام علي رسول الله وآله وصحبه وإخوانه أجمعين

بس القاعدة بتقول يا بشمهندس:
standard acl :::out
extende acl ::::in
وانا عملت تجربة بسيطة علي الباكيت تريسر وفعلا المشكلة عندي كانت من الـin والout، طيب ما تجرب انت تعملها علي الباكيت تريسر وتشوف كده إن شاء الله
وانا فعلا اقول ان المشكلة ان يمكن انا اخترت الرانج بتاع امريكا اما الشرق الاوسط فده ليه رانج تاني، بس النقطة هنا احنا حنقدر نعرف رانج الشرق الأوسط منين إن شاء الله؟
وصلي الله وسلم وبارك علي المصطفي وآله وصحبه وإخوانه أجمعين.

لا أخي جواد لا يوجد شيء أسمه قاعدة في هذا الأمر ولم أسمع به أيضا يعني لو عطيتك مثال صغير جهاز موصول مع روتر والروتر موصول مع سيرفر Server----R1-------PC وطلبت منك ان تمنع الجهاز من الأتصال بالسيرفر من خلال البورت 80 فهل تستطيع أن تجبرني على تطبيق الأكسس ليست على المنفذ المتصل مع السيرفر وتقول لي هذه قاعدة ويجب تطبيقه لاني ببساطة سوف أقوم بتطبيق الأكسس ليست على المنفذ المتصل مع جهاز الكمبيوتر أي في حالة in وأنتهى الموضوع

احب انا اشكر الجميع على هذا التفاعل الجميل ووفق الله الجميع لما يحبه ويرضاه
بالنسبة لin وout هي ليست قاعدة ولكنCisco تفضل ذلك

Place extended ACLs as close as possible to the source of the packet to discard the packets quickly#

#Place standard ACLs as close as possible to the packets destination, because standard ACLs often discard packets that you do not want discarded when they are placed close to the source.


بسم الله والحمد لله والصلاة والسلام علي رسول الله وآله وصحبه وإخوانه أجمعين

أخي الكريم ضع الـ A extended acl علي الـin وليس الـout في الكونفجريشن اللي حضرتك وضعته

تم تعديل الأعدادات ولم تعمل ايضاً extended acl



أعتقد أن المشكلة من الأيبي لان أعتقد أن الرانج الذي وضعه الموقع السابق غير صحيح والله أعلم
انا معاك ياباشمهندس ايمن في هذا الرأي. لأنه عند عمل Tracert الأيبي اللي بيظهر مختلف

C:\>tracert www.youtube.com (https://www.youtube.com)

Tracing route to youtube-ui.l.google.com [72.14.255.190

over a maximum of 30 hops:

ms <1 ms <1 ms 192.168.1.8

[ms <1 ms <1 ms static-dsl.nesma.net.sa [85.129.202.161
ms 34 ms 33 ms RUH-CORP-R1.nesma.net.sa [212.71.46.101
ms 32 ms 33 ms rtr-ruh-gate5.nesma.net.sa [212.71.32.5

ms 34 ms 34 ms 84-235-110-161.igw.com.sa [84.235.110.161

ms 34 ms 34 ms 84-235-120-33.igw.com.sa [84.235.120.33

ms 177 ms 181 ms 74.125.49.121

ms 104 ms 112 ms 216.239.43.156

ms 179 ms 172 ms 209.85.243.162

ms 169 ms 156 ms mrs02s01-in-f91.1e100.net [72.14.255.190]
Trace complete





بالنسية للأعدادت فأنا لا أعتقد أن المشكلة من الـ in أو الـ out
لان هو وضع الـ out على الانترفيس المتصل مع الأنترنت وفي نفس الوقت وضع الـ in على الأنترفيس المتصله مع الأجهزة الداخلية

يا سلام على التحليل ياباشمهندس ايمن تمام 100%

احب انا اشكر الجميع على هذا التفاعل الجميل ووفق الله الجميع لما يحبه ويرضاه
بالنسبة لin وout هي ليست قاعدة ولكنCisco تفضل ذلك

Place extended ACLs as close as possible to the source of the packet to discard the packets quickly#

#Place standard ACLs as close as possible to the packets destination, because standard ACLs often discard packets that you do not want discarded when they are placed close to the source.

أخي العزيز انت وسيسكو على راسي بس انا مصر ان الموضوع لايوجد به قاعدة ولا تفضيل الموضوع مرتبط بالأكسس ليست نفسها وماهو المطلوب منها أن تمنعه أو تسمح به لاني لو رجعت إلى المثال السابق الذي طرحته server----R1------Pc وقمت بتطبيق الأكسس ليست على المنفذ المرتبط مع السيرفر عندها أنا أقوم بعمل overhead على الروتر لان عملية التوجيه على الروتر تمر على مراحل بدءا من الأكسس ليست على المنفذ in بعدها يتم تحديد الوجهة وبعدها يتم عمل أعادة encapsulate للباكيت من أجل الماك ادريس وعملية الـ Switching وآخيرا نعود للأكسس ليست على منفذ الـ out فهل برائيك الأفضل ان أسمح لكل هذه الأمور ان تحدث على الروتر أم ان أقوم بعمل Drop على الباكيت من أول خطوة
مثال من نوع آخر أريد ان أمنع كل الأجهزة من الوصول إلى السيرفر ماعدا أيبي واحد أريد أن اسمح له فما هو القرار الأفضل لهذه الأكسس ليست ====> أكيد تطبيق الأكسس ليست على المنفذ الأقرب للسيرفر وفي حالة out

كل الشكر والتقدير لجميع المشاركين فى هذا سؤال
جزاكم الله خيرا أخوتى الكرام

أخي العزيز انت وسيسكو على راسي بس انا مصر ان الموضوع لايوجد به قاعدة ولا تفضيل الموضوع مرتبط بالأكسس ليست نفسها وماهو المطلوب منها أن تمنعه أو تسمح به لاني لو رجعت إلى المثال السابق الذي طرحته server----R1------Pc وقمت بتطبيق الأكسس ليست على المنفذ المرتبط مع السيرفر عندها أنا أقوم بعمل overhead على الروتر لان عملية التوجيه على الروتر تمر على مراحل بدءا من الأكسس ليست على المنفذ in بعدها يتم تحديد الوجهة وبعدها يتم عمل أعادة encapsulate للباكيت من أجل الماك ادريس وعملية الـ Switching وآخيرا نعود للأكسس ليست على منفذ الـ out فهل برائيك الأفضل ان أسمح لكل هذه الأمور ان تحدث على الروتر أم ان أقوم بعمل Drop على الباكيت من أول خطوة
مثال من نوع آخر أريد ان أمنع كل الأجهزة من الوصول إلى السيرفر ماعدا أيبي واحد أريد أن اسمح له فما هو القرار الأفضل لهذه الأكسس ليست ====> أكيد تطبيق الأكسس ليست على المنفذ الأقرب للسيرفر وفي حالة out

بسم الله والحمد لله و الصلاة والسلام علي رسول الله وآله وصحبه وإخوانه أجمعين
انت وضعتها علي الـin لأنها extended اما لو كانت standard فالمفروض وضعها علي الـout للقيام بوظيفتها والله أعلم وخلاص الكلام

البينة علي من ادعي

نطالب البشمهندس ايمن النعيمي بمثال علي اكسس ليست ستاندرد تم وضعها علي الـin وأدت وظيفتها

امر اخر الاكسس ليست اللي حضرتك وضعتها منعت البورت 80، طيب لو فيه يوزر شرير وكتب في العنوان كده:
https//www.you>>>>.com، هذا يسلتزم entry أخر،
وصراحة ياجماعة الموضوع ده في سيسكو امكانياته اضعف من مايكروسوف

وصلي الله وسلم وبارك علي المصطفي وآله وصحبه وإخوانه أجمعين

في حالة استخدام ال access list لعمل pointing على ترافيك لاستخدامها في امور اخرى وليس التامين مثلا في حالات ال qos لعمل مشاوره على ترافيك معين او في ال BGP فأن القاعده السابقه لاخونا جواد غير صحيحه
بمعنى اخر كلام الاخ جواد صحيح في اغلب السيناريوهات التامينيه و لكن في حاله واحده فقط وهي
استخدام ال access list كوسيلة تامينيه في منع او سماح لترافيك معين و ليس لعمل pointing

هذة الامور بتكون اوضح عند دراسة ال CCIP و ال CCSP
عموما
الاختلاف لا يفسد للود قضيه يا جماعه
لا بينه و لا ادعاء
كلنا اخوه بارك الله فيكم جميعا

أخواني الأعزاء

أنا بشوف أفضل طريقة هي بعمل ال Regular Expression مع استخدام ال Class-map وال Policy-map

راح يكون عندك تحكم كامل بال link بغض النظر عن ال IP

تحياتي

بداية أحب أن أقول شيء مهم للجميع نحن هنا نتناقش فقط في محور علمي عملي وليست أثبات لرائي أو أي شيء آخر ثانوي والأراء والأفكار تختلف من شخص لآخر لذا نحن نحاول الوصول إلى شيء نتفق عليه جميعا وهذا طبعا عن نفسي وأظن أن جميع المشاركين لهم نفس الغاية
نعود لموضوعنا



انت وضعتها علي الـin لأنها extended اما لو كانت standard فالمفروض وضعها علي الـout للقيام بوظيفتها والله أعلم وخلاص الكلام





إذا كنت تقصد في المثال الأول أنا لم أضعها في الـ in لانها Extended بل لان الطلب يحتم علي ذلك وهو منع الجهاز من الأتصال مع السيرفر من خلال البورت 80 وسوف أعود لاطرح عليك أمثلة أكثر





نطالب البشمهندس ايمن النعيمي بمثال علي اكسس ليست ستاندرد تم وضعها علي الـin وأدت وظيفتها

حديثنا كان عن الـExtended-List ولم أذكر أن الـStandard من الممكن تطبيقه أينما شئت لان ببساطة الـStandard لن يسمح لي بتحديد السورس والديستينايشين لذلك التوجه دائما المنفذ الأقرب للهدف وليس لانها قاعدة ويجب تطبيقها
أما لو عدنا لنقطة نقاشنا وهي الـ Extended سوف أعرض عليك المثال السابق PC------R1-------Server وأطلب منك منعه من الأتصال من خلال المنفذ 80 سوف تقول لي in طيب سوف أعود وأطرح عليك مثال آخر
Pc2
|
|
|
server---------R1----------Pc1

أريد أن أمنع الجميع من الأتصال وطبعا أنت لاتفرض أنهم جهازان فقط بل أفرض أن هناك أكثر من شبكة متصلة مع الروتر وأريد أن أسمح لواحد فقط بالأتصال عندها سوف أقوم بكتابة الأكسس ليست وأسمح لذلك الشخص وأمنع البقية من الوصوصل وأقوم بتطبيقها على المنفذ المتصل مع السيرفر وفي حالة
Out لأعطيك مثال من سيسكو ومن أمتحان الـ CCNA الآخير والذي يدور حول الأكسس ليست
وكيفية منع الجميع من الوصول إلى الـ Finance server والسماح لجهاز الـ C بالوصول فقط
https://www.9tut.com/images/ccna/labsim/access_list_sim2.jpg
ولنشاهد الأعدادت من موقع 9tut وبأعتقادي أن لاغبار عليها

Corp1#configure terminal
Corp1(config)#access-list 100 permit tcp host 192.168.33.3 host 172.22.242.23 eq 80
Deny other hosts access to the Finance Web Server via web
Corp1(config)#access-list 100 deny tcp any host 172.22.242.23 eq 80
All other traffic is permitted
Corp1(config)#access-list 100 permit ip any any
Apply this access-list to Fa0/1 interface (outbound direction)
Corp1(config)#interface fa0/1
Corp1(config-if)#ip access-group 100 out
Notice: We have to apply the access-list to Fa0/1 interface (not Fa0/0 interface) so that the access-list can filter traffic coming from the Core network.


خلاصة هذا الكلام : لايوجد قاعدة في الموضوع برائي وهي ببساطة تعود على الأكسس ليست نفسها وما هو المطلوب تنفيذه على الشبكة يعني ممكن أطبقها in وممكن أطبقها على الـ Out




امر اخر الاكسس ليست اللي حضرتك وضعتها منعت البورت 80، طيب لو فيه يوزر شرير وكتب في العنوان كده:
https//www.you>>>>.com، هذا يسلتزم entry أخر،

أولا يجب أن أحدد هل الموقع يدعم الـ SSL أو لا فلو كان يدعم عندها يجب أن أضع entry آخرى وطبعا هذه الامر يجب أن يتم بكلا الحالتين In or Out



وصراحة ياجماعة الموضوع ده في سيسكو امكانياته اضعف من مايكروسوف


هذا ما أشرت له في أول مشاركة لي بأني سوف أحاول أن أحل المشكلة من خلال السوف وير وسوف أبتعد عن حلول الهاردوير

أخواني الأعزاء

أنا بشوف أفضل طريقة هي بعمل ال Regular Expression مع استخدام ال Class-map وال Policy-map

راح يكون عندك تحكم كامل بال link بغض النظر عن ال IP

تحياتي
تماما أخي رومانسيات وهو ما أشرت إله في أول مشاركة لي وهو لو في حال أردت حل هذه المشكلة على سيسكو فأنا سوف ألجا إلى Policy-Map

بسم الله والحمد لله والصلاة والسلام علي رسول الله وآله وصحبه وإخوانه أجمعين

طيب يابشمهندس ما تيجي نعمل قاعدة للكلام ده أنا اقول ولو فيه خطأ رجاء التصحيح إن شاء الله:

1- STANDARD ACCESS LISTS
يتم وضعها علي الـOUT لأن يتم وضعها عند الـDESTINATION وبالتالي لن تؤدي الغرض منها إذا تم وضعها علي الـIN
2-
EXTENDED ACCESS LISTS
أ- يتم وضعها علي الIN وذلك في حالة تم وضعها عند الSOURCE وبالطبع الSOURCE شبكة واحدة لأننا نستخدم ACL واحدة فقط
ب- يتم وضعها علي الOUT في حالة تم وضعها عن الDESTINATION وفي الغالب يكون الSOURCE أكثر من شبكة

هذا والله أعلي وأعلم
وصلي الله وسلم وبارك علي المصطفي وآله وصحبه وإخوانه أجمعين.

تمام أخي أحمد وبارك الله فيك وحقيقة النقاش دائما معك متعة

بسم الله والحمد لله والصلاة و السلام علي رسول الله وآله وصحبه وإخوانه أجمعين

جزاك الله خيرا يا بشمهندس أيمن،

أسأل الله العظيم رب العرش الكريم أن يزيدنا علماً وفهماً إنه ولي ذلك والقادر عليه

وصلي الله وسلم وبارك علي المصطفي وآله وصحبه وإخوانه أجمعين.

السلام عليكم
انا اعتقد بهذه التجاربه العمليه نكون وصلنا الى عد افداف مراجه الصب نت و الاكسس لست و عملنا تطبيق عملى

وانا فعلا اقول ان المشكلة ان يمكن انا اخترت الرانج بتاع امريكا اما الشرق الاوسط فده ليه رانج تاني، بس النقطة هنا احنا حنقدر نعرف رانج الشرق الأوسط منين إن شاء الله؟



ICANN‏
Internet Corporation for Assigned Names and Numbers
https://www.icann.org
منظمة مختصة بتوزيع وإدارة عناوين الاي بي وأسماء المجال و ASN Autonoums System Number في جميع انحاء العالم
وتقوم باعطاء بعض المنظمات الصلاحية الإشراف على تخصيص الاي بي
IANA
Internet Assigned Numbers Authority
https://www.iana.org
تشرف منظمة على توزيع أرقام IP على مستوى العالم، وتدار بواسطة ICANN
حيث تقوم بالإشراف على منظمات فرعية تكون كل منظمة منها مسئولة عن جزء معين من العالم وهذه المنظمات الفرعية هي:
ARIN American Registry for Internet Numbers
https://www.arin.net (https://www.arin.net/)
منظمة تشرف على دول أميركا الشمالية والجنوبية
RIPE Réseaux IP Européen
وتشرف هذه المنظمة على منطقة أوروبا والشرق الأوسط وأجزاء من -إفريقيا.
APNIC Asia Pacific Network Information Center
وتشرف هذه المنظمة على دول آسيا.
LACNIC Latin American and Caribbean Internet
وتشرف هذه المنظمة على دول أميركا اللاتينية والكاريبي.
AfriNIC African Internet Numbers Registry IP Addresses
وتشرف هذه المنظمة هذه المنظمة على قارة إفريقيا.

تقوم كل منظمة من هذه المنظمات بالإشراف على توزيع أرقام IP للدول الواقعة تحت مجال إشرافها، ويوجد لكل منظمة قاعدة بيانات تمكنها من معرفة صاحب رقم IP معين، وتسمى هذه الخدمة بخدمة whois، حيث تقوم بإدخال رقم IP التابع لمنظمة معينة وستحصل على معلومات عمن يمتلك هذا IP