مشاهدة النسخة كاملة : هل من طريقة لعمل Block لليوتيوب وكذلك ال Matacafe
Eng-Cisco
26-08-2010, 03:44
السلام عليكم احبتي
هل من طريقة لعمل Access-list لمنع ال youtube وكذلك ال Matacafe عن طريق الراوتر تعرفون انتم هناك عدد لا يحصاء من ال IP لهذين الموقعيين
ارجو المساعدة اخوتي
بسم الله والحمد لله والصلاة والسلام علي رسول الله وآله وصحبه وإخوانه أجمعين:
بارك الله فيك وفي أهل العراق وفي بغدادي حبيبتي التي ما عشت فيها ولكنها عاشت في وأسأل الله عز وجل أن يحفظها وأن أراها سعيدة كما كانت...آمين.
تمام انظر بارك الله فيك هذا الموقع
https://www.arin.net (https://www.arin.net/)
هنا تبحث عن الأيبيهات التي يأخذها موقع معين مثل اليوتيوب فعندما تكتب في البحث youtube
في صندوق البحث أعلي الصفحة whois search
تظهر لك الأبيهات كالتالي إن شاء الله:
208.65.152.0 - 208.65.155.255 تمام؟
طيب دلوقتي المشكلة اننا عايزين نحسب الwildcard mask
طيب لو تلاحظ معايا ان الاوكتات التالت بيبدأ من 152 إلي 155 يعني ايه يعني الفاكتور 4 صح؟
بس خلي بالك احنا لما بنيجي نحسب الفاكتور وكانت الشبكة مثلا بدايتها 152 والفاكتور 4 بنقول ايه؟
بنقول إن شاء الله إن الشبكة بدايتها 152 ونهايتها 155 ليه؟
علشان 156 ده اسم الشبكة اللي بعدها تمام ؟
خلاص يعني دلوقتي نقسم الرانج إلي الأتي إن شاء الله:
152-155 وبالتالي الsubnet mask ايه؟ 255.255.252.0 ايه ده يعني الwildcard mask كام ؟ 0.0.3.255
خير إن شاء الله
وعلي كده نعمل acl إن شاء الله.
افترض إن شاء الله انك عايزتمنع الشبكة ديه مثلا 192.168.10.0تمام؟ ده بس مجرد مثال وانت تحط اسم الشبكة اللي انت عايز تمنعها إن شاء الله:
access-list 150 deny ip 192.168.10.0 0.0.0.255 208.65.152.0 0.0.3.255
access-list 150 permit ip any any
R(confgi-if)# ip access-group 150 in
وبالنسبة لل metacafe نفس الكلام إن شاء الله سبحانه وتعالي
بس عن تجربة صراحة يعني
الراجل الit اللي كان في الشركة اللي كنت شغال فيها صراحة كان حيشد في شعره كل اما يقفل الyoutube بفضل الله سبحانه وتعالي كنت بفتحه بالبروكسيات اخر اما زهق مني قطع علية المية والنور مبقاش شغال عندي غير الoutlook بس سبحان الله.
الحمد لله
وده برنامج علشان تجر الacl قبل ما تحطها علي الراوتر إن شاء الله البرنامج حجمه بسيط جداً بس ما شاء الله لا قوة إلا بالله:
https://www.arabhardware.net/forum/showthread.php?t=186751
وجرب كده ونبقي نتناقش إن شاء الله انت وصلت لإيه
ولا تنسني من صالح الدعاء
وصلي الله وسلم وبارك علي المصطفي وآله وصحبه وإخوانه أجمعين.
Eng-Cisco
26-08-2010, 08:07
السلام عليكم
اخي العزيز اني ما اعرف شلون اشكرك على هذا الشرح الوافي واخلاقك الطيبة بس والله اني لمن قرات الجواب ابقيت اردد بالدعاء لك والى عائلتك هذا ابسط شي ممكن اقدمه الك على مجهودك ووقتك بارك الله فيك ياطيب ابن الطيبيين.
بسم الله والحمد لله والصلاة والسلام علي رسول الله وآله وصحبه وإخوانه أجمعين:
ربنا يبارك فيك وفي أهل السنة جميعاً
وصلي الله وسلم وبارك علي المصطفي وآله وصحبه وإخوانه أجمعين.
لو عندك ASA هيكون سهل اوى تعمل علية الحاجات دية
Eng-Cisco
26-08-2010, 11:07
لا يوجد عندي ASA فقط يوجد عندي Router and Switch layer 3
akram_fetyan
25-09-2010, 16:49
تمت التجربة ولم يعمل ACL
برجاء مراجعة الاعدادات من على جهاز الراوتر تبعي
HO-Net#sh running-config
Building configuration...
Current configuration : 1905 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname HO-Net
!
boot-start-marker
boot-end-marker
!
enable password nesmaisp
!
no aaa new-model
!
resource policy
!
mmi polling-interval 60
no mmi auto-configure
no mmi pvc
mmi snmp-timeout 180
ip subnet-zero
ip cef
!
!
no ip dhcp use vrf connected
!
!
ip name-server X.X.X.X
ip name-server X.X.X.X
vpdn enable
vpdn ip udp ignore checksum
!
vpdn-group pppoe
request-dialin
protocol pppoe
ip mtu adjust
!
!
!
!
!
interface FastEthernet0/0
ip address 85.X.X.X 255.255.255.0
ip access-group Video in
ip tcp adjust-mss 1452
duplex auto
speed auto
hold-queue 100 out
!
interface FastEthernet0/1
no ip address
duplex auto
speed auto
!
interface ATM0/1/0
no ip address
ip access-group A out
no atm ilmi-keepalive
dsl operating-mode auto
!
interface ATM0/1/0.1 point-to-point
ip access-group A out
pvc 0/35
pppoe-client dial-pool-number 1
!
!
interface Dialer0
no ip address
shutdown
!
interface Dialer1
ip address negotiated
ip access-group A out
encapsulation ppp
ip tcp adjust-mss 1400
dialer pool 1
dialer-group 1
ppp authentication pap chap callin
ppp chap hostname rccho2@4096.corp.nesma.net.sa
ppp chap password 0 112233
ppp pap sent-username rccho2@4096.corp.nesma.net.sa password 0 112233
!
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer1
!
ip http server
!
ip access-list extended A
deny ip 85.X.X.X 0.0.0.255 208.65.152.0 0.0.3.255
permit ip any any
ip access-list extended Video
deny ip 192.168.1.0 0.0.0.255 208.65.152.0 0.0.3.255
deny ip 192.168.1.0 0.0.0.255 12.191.255.128 0.0.0.31
deny ip 192.168.1.0 0.0.0.255 12.191.255.160 0.0.0.31
permit ip any any
!
!
control-plane
!
!
line con 0
line aux 0
line vty 0 4
password cisco
login
!
end
بسم الله والحمد لله والصلاة والسلام علي رسول الله وآله وصحبه وإخوانه أجمعين
أخي الكريم ضع الـ A extended acl علي الـin وليس الـout في الكونفجريشن اللي حضرتك وضعته
interface ATM0/1/0
no ip address
ip access-group A out
no atm ilmi-keepalive
dsl operating-mode auto
!
interface ATM0/1/0.1 point-to-point
ip access-group A out
pvc 0/35
pppoe-client dial-pool-number 1
!
!
interface Dialer0
no ip address
shutdown
!
interface Dialer1
ip address negotiated
ip access-group A out
والله أعلي وأعلم
ولو فيه خطأ رجاء من الإخوة التصحيح بارك الله فيكم
وصلي الله وسلم وبارك علي المصطفي وآله وصحبه وإخوانه أجمعين.
abo Abdullah
25-09-2010, 22:15
حقيقة والله إبداع
جزيت خيرا
أيمن النعيمي
25-09-2010, 23:36
لو وضعت في مثل هذا الموقف لكنت أبتعدت عن سيسكو لحل هذه المشكلة كنت أولا أعتمدت على حلول مايكروسوفت وخصوصا لو كان هناك دومين للشبكة فببساطة أستطيع أن أعدل على ملف الـ Host الموجود على المسار التالي c:\windows\sytem32\drivers\etc
وقمت بأضافة سطر إليه
127.0.0.1 www.youtube.com
وظيفة هذا الملف هو عمل Mapping بين الأيبي وأسم الموقع لكن بشكل يدوي يعني بتقدر تقول عنه DNS Static وبالتالي أي طلب لهذا الموقع سوف يتم تحويله إلى 127.0.0.1 لان أول مكان يلجأ إليه الجهاز لمعرفة الأيبي هو ملف الهوست فأن لم يجد طلبه أرسل إلى الـ DNS وبالتالي منعنا المستخدمين من الوصول إلى موقع اليوتيوب تماما وخصوصا لو كانت الصلاحيات المعطاة لهم على الأجهزة هي صلاحيات User أما لو كان الجميع يملك صلاحيات administrator ولديهم خبرة جيدة مع أنظمة مايكروسوفت عندها نتجه إلى سيسكو
أما الحل الثاني الذي أقترحه على أجهزة سيسكو هو من خلال الـ policy-map وهذه هي الأوامر اللازمة
Router>en
Router#conf t
Router(config)#class-map match-any YouTube_Request
Router(config-cmap)#match protocol http host www.youtube.com (https://www.youtube.com/)
Router(config-cmap)#exit
Router(config)#policy-map Block_YouTube
Router(config-pmap)#class YouTube_Request
Router(config-pmap-c)#drop
Router(config-pmap-c)#exit
Router(config)#interface FastEthernet0/0
Router(config-if)#service-policy output Block_YouTube
Router(config-if)#end
طبعا الـ FastEthernet0/0 هو المنفذ المتصل مع الأنترنت
أما لو قررت اللجوء إلى الأكسس ليست فأنا أفضلها بهذا الشكل
Router>en
Router#conf t
Router(config)#access-list 101 deny tcp any host 208.65.155.255 eq www
Router(config)#access-list 101 permit ip any any
Router(config)#interface FastEthernet0/0
Router(config-if)#ip access-group 101 out
Router(config-if)#end
مع ملاحظة أن الأيبي 208.65.155.255 هو أيبي موقع اليوتيوب
بسم الله و الحمد لله والصلاة والسلام علي رسول الله وآله وصحبه وإخوانه أجمعين
جزاك الله خيراً يا بشمهندس أيمن، لي ملاحظتين:
1-
Router>en
Router#conf t
Router(config)#access-list 101 deny tcp any host 208.65.155.255 eq www
Router(config)#access-list 101 permit ip any any
Router(config)#interface FastEthernet0/0
Router(config-if)#ip access-group 101 out
Router(config-if)#end
مع ملاحظة أن الأيبي 208.65.155.255 هو أيبي موقع اليوتيوب
ان اليوتيوب لا يستخدم ايبي واحد بل يستخدم رانج من الابيهات وهذا حسب موقع arin كما ذكرت في أول مشاركة
https://www.arin.net (https://www.arin.net/)
هنا تبحث عن الأيبيهات التي يأخذها موقع معين مثل اليوتيوب فعندما تكتب في البحث youtube
في صندوق البحث أعلي الصفحة whois search
تظهر لك الأبيهات كالتالي إن شاء الله:
208.65.152.0 - 208.65.155.255 تمام؟
2- الأمر الاخر الذي يجب الإنتباه إليه أنه بمنعنا موقع اليوتيوب فإننا لم نمنع البروكسيات وده اللي خالي الراجل الأي تي في الشركة كان حيشد في شعره مني اخر ما زهق قام قاطع عني المية والنور مابقاش شغال غير الـoutlook فقط
وفي رأيي ان منع البروكسيات عن طريق مايكروسوفت لا يقارن بسيسكو نظرا للكم الرهيب من الايبيهات التي تستخدمها هذه البروكسيات ونظراً لوجود البرامج التي مهمتها فقط البحث عن البروكسيات الجديدة وحفظها في قاعدة بيانات ضخمة بل ، وطبعا مع انتشار شبكة التور اصبح من الصعب جدا حتي منع التور والله أعلم، أضف الي ذلك التقنية الجديدة التي يعتمد عليها التور وهي لو قامت الدولة بمنع شبكة التور فان هناك الكثير من المتطوعين الذين يقومون بتقديم سيرافراتهم الخاصة للاستخدام كبريدجات تقوم بالاتصال بها ومن ثم الاتصال بالتور، و طبعا هذه البريدجات ليست أمنة مائة بالمئة
نقطة أخيرة أخي أيمن بارك الله فيك ارجو التعليق علي الكونفجريشن الذي وضعه الأخ akram_fetyan (https://www.arabhardware.net/forum/member.php?u=10425) لمعرفة أين المشكلة إن شاء الله
جزاك الله خيرا
وصلي الله وسلم وبارك علي المصطفي و آله وصحبه وإخوانه أجمعين.
frozenEyes
26-09-2010, 00:07
بعتقد شباب opendns حل معقول فى مثل هذة المواقف :
https://www.opendns.com/
:rolleyes::rolleyes:
أيمن النعيمي
26-09-2010, 00:29
بسم الله و الحمد لله والصلاة والسلام علي رسول الله وآله وصحبه وإخوانه أجمعين
جزاك الله خيراً يا بشمهندس أيمن، لي ملاحظتين:
1-
ان اليوتيوب لا يستخدم ايبي واحد بل يستخدم رانج من الابيهات وهذا حسب موقع arin كما ذكرت في أول مشاركة
جرب هذه الطريقة وأن لم تنفع عندها قم بكتابة الأيبيات جميعها وهناك نقطة لم أفهمها من الموقع الذي وضعته فأنا قمت بكتابة youtube وظهر لي نفس الرانج الذي كتبته وعندما أستخدمة أحد الأيبيات من المتصفح لم يفتح معي أي شيء والبنج من جهازي يعطيني أيبي آخر ومن خارج الرانج الذي يقدمه الموقع السابق 74.125.95.93
Router(config)#access-list 101 deny tcp any host www.youtube.com (https://www.youtube.com) eq 80
[/QUOTE]
2- الأمر الاخر الذي يجب الإنتباه إليه أنه بمنعنا موقع اليوتيوب فإننا لم نمنع البروكسيات وده اللي خالي الراجل الأي تي في الشركة كان حيشد في شعره مني اخر ما زهق قام قاطع عني المية والنور مابقاش شغال غير الـoutlook فقط
وفي رأيي ان منع البروكسيات عن طريق مايكروسوفت لا يقارن بسيسكو نظرا للكم الرهيب من الايبيهات التي تستخدمها هذه البروكسيات ونظراً لوجود البرامج التي مهمتها فقط البحث عن البروكسيات الجديدة وحفظها في قاعدة بيانات ضخمة بل ، وطبعا مع انتشار شبكة التور اصبح من الصعب جدا حتي منع التور والله أعلم، أضف الي ذلك التقنية الجديدة التي يعتمد عليها التور وهي لو قامت الدولة بمنع شبكة التور فان هناك الكثير من المتطوعين الذين يقومون بتقديم سيرافراتهم الخاصة للاستخدام كبريدجات تقوم بالاتصال بها ومن ثم الاتصال بالتور، و طبعا هذه البريدجات ليست أمنة مائة بالمئة
موضوع البروكسيات ليس لها حل إلا الحل الذي قام به المسؤول عندك وهو قطع الميه والنور
نقطة أخيرة أخي أيمن بارك الله فيك ارجو التعليق علي الكونفجريشن الذي وضعه الأخ akram_fetyan (https://www.arabhardware.net/forum/member.php?u=10425) لمعرفة أين المشكلة إن شاء الله
جزاك الله خيرا
وصلي الله وسلم وبارك علي المصطفي و آله وصحبه وإخوانه أجمعين.
أعتقد أن المشكلة من الأيبي لان أعتقد أن الرانج الذي وضعه الموقع السابق غير صحيح والله أعلم
بسم الله والحمد لله و الصلاة والسلام علي رسول الله وآله وصحبه وإخوانه أجمعين:
بالنسبة للأيبي اللي ظهر لك فده جوجل والله أعلم، هوه عندنا في مصر مختلف يعني لو كتبته في البروسر حيوديك علي جوجل إن شاء الله.
ولو فتحت موقع whois حتلاقي فعلا ان الايبي ده متسجل لجوجل
Whois Search Results
https://domains.whois.com/getImage.php?src=collapse.gif Domain Name : 74.125.95.93
#
# Query terms are ambiguous. The query is assumed to be:
# "n 74.125.95.93"
#
# Use "?" to get help.
#
#
# The following results may also be obtained via:
# https://whois.arin.net/rest/nets;q=74.125.95.93?showDetails=true&showARIN=false
#
NetRange: 74.125.0.0 - 74.125.255.255
CIDR: 74.125.0.0/16
OriginAS:
NetName: GOOGLE
NetHandle: NET-74-125-0-0-1
Parent: NET-74-0-0-0-0
NetType: Direct Allocation
NameServer: NS2.GOOGLE.COM
NameServer: NS3.GOOGLE.COM
NameServer: NS4.GOOGLE.COM
NameServer: NS1.GOOGLE.COM
ولو بحث بالاسم عن youtube حيظهرلك ان اليوتيوب واخد السيرفيرات ديه من علي سيرافيرات جوجل إن شاء الله
Whois Search Results
Domain Name : youtube.com
Domain servers in listed order:
ns4.google.com
ns1.google.com
ns2.google.com
ns3.google.com
بس الاكسس ليست اللي انت وضعتها فيها برضوا مشكلة
Router(config)#access-list 101 deny tcp any host www.youtube.com (https://www.youtube.com/) eq 80انت انت منعت البراوسينج فقط بس لسة الداونلود من اليوتيوب مفتوح
النقطة الاخيرة انا اري ان الخطا في الكونفجريشين بتاع الأخ انه حاطط الاكسس ليست علي الout والمفروض ان هية تتحط علي الـin علشان هية extnded والله أعلم
ايه رأيك في الكلام ده
وصلي الله وسلم وبارك علي المصطفي وآله وصحبه وإخوانه أجمعين.
أيمن النعيمي
26-09-2010, 01:00
انا منعت المستخدمين من الوصول إلى الموقع وبالتالي هما مش حيقدروا يحملوا أي شيء
بالنسية للأعدادت فأنا لا أعتقد أن المشكلة من الـ in أو الـ out لان هو وضع الـ out على الانترفيس المتصل مع الأنترنت وفي نفس الوقت وضع الـ in على الأنترفيس المتصله مع الأجهزة الداخلية
بسم الله والحمد لله و الصلاة والسلام علي رسول الله وآله وصحبه وإخوانه أجمعين
بس القاعدة بتقول يا بشمهندس:
standard acl :::out
extende acl ::::in
وانا عملت تجربة بسيطة علي الباكيت تريسر وفعلا المشكلة عندي كانت من الـin والout، طيب ما تجرب انت تعملها علي الباكيت تريسر وتشوف كده إن شاء الله
وانا فعلا اقول ان المشكلة ان يمكن انا اخترت الرانج بتاع امريكا اما الشرق الاوسط فده ليه رانج تاني، بس النقطة هنا احنا حنقدر نعرف رانج الشرق الأوسط منين إن شاء الله؟
وصلي الله وسلم وبارك علي المصطفي وآله وصحبه وإخوانه أجمعين.
أيمن النعيمي
26-09-2010, 01:50
لا أخي جواد لا يوجد شيء أسمه قاعدة في هذا الأمر ولم أسمع به أيضا يعني لو عطيتك مثال صغير جهاز موصول مع روتر والروتر موصول مع سيرفر Server----R1-------PC وطلبت منك ان تمنع الجهاز من الأتصال بالسيرفر من خلال البورت 80 فهل تستطيع أن تجبرني على تطبيق الأكسس ليست على المنفذ المتصل مع السيرفر وتقول لي هذه قاعدة ويجب تطبيقه لاني ببساطة سوف أقوم بتطبيق الأكسس ليست على المنفذ المتصل مع جهاز الكمبيوتر أي في حالة in وأنتهى الموضوع
akram_fetyan
26-09-2010, 12:17
احب انا اشكر الجميع على هذا التفاعل الجميل ووفق الله الجميع لما يحبه ويرضاه
بالنسبة لin وout هي ليست قاعدة ولكنCisco تفضل ذلك
Place extended ACLs as close as possible to the source of the packet to discard the packets quickly#
#Place standard ACLs as close as possible to the packets destination, because standard ACLs often discard packets that you do not want discarded when they are placed close to the source.
بسم الله والحمد لله والصلاة والسلام علي رسول الله وآله وصحبه وإخوانه أجمعين
أخي الكريم ضع الـ A extended acl علي الـin وليس الـout في الكونفجريشن اللي حضرتك وضعته
تم تعديل الأعدادات ولم تعمل ايضاً extended acl
أعتقد أن المشكلة من الأيبي لان أعتقد أن الرانج الذي وضعه الموقع السابق غير صحيح والله أعلم
انا معاك ياباشمهندس ايمن في هذا الرأي. لأنه عند عمل Tracert الأيبي اللي بيظهر مختلف
C:\>tracert www.youtube.com (https://www.youtube.com)
Tracing route to youtube-ui.l.google.com [72.14.255.190
over a maximum of 30 hops:
ms <1 ms <1 ms 192.168.1.8
[ms <1 ms <1 ms static-dsl.nesma.net.sa [85.129.202.161
ms 34 ms 33 ms RUH-CORP-R1.nesma.net.sa [212.71.46.101
ms 32 ms 33 ms rtr-ruh-gate5.nesma.net.sa [212.71.32.5
ms 34 ms 34 ms 84-235-110-161.igw.com.sa [84.235.110.161
ms 34 ms 34 ms 84-235-120-33.igw.com.sa [84.235.120.33
ms 177 ms 181 ms 74.125.49.121
ms 104 ms 112 ms 216.239.43.156
ms 179 ms 172 ms 209.85.243.162
ms 169 ms 156 ms mrs02s01-in-f91.1e100.net [72.14.255.190]
Trace complete
بالنسية للأعدادت فأنا لا أعتقد أن المشكلة من الـ in أو الـ out
لان هو وضع الـ out على الانترفيس المتصل مع الأنترنت وفي نفس الوقت وضع الـ in على الأنترفيس المتصله مع الأجهزة الداخلية
يا سلام على التحليل ياباشمهندس ايمن تمام 100%
أيمن النعيمي
26-09-2010, 14:18
احب انا اشكر الجميع على هذا التفاعل الجميل ووفق الله الجميع لما يحبه ويرضاه
بالنسبة لin وout هي ليست قاعدة ولكنCisco تفضل ذلك
Place extended ACLs as close as possible to the source of the packet to discard the packets quickly#
#Place standard ACLs as close as possible to the packets destination, because standard ACLs often discard packets that you do not want discarded when they are placed close to the source.
أخي العزيز انت وسيسكو على راسي بس انا مصر ان الموضوع لايوجد به قاعدة ولا تفضيل الموضوع مرتبط بالأكسس ليست نفسها وماهو المطلوب منها أن تمنعه أو تسمح به لاني لو رجعت إلى المثال السابق الذي طرحته server----R1------Pc وقمت بتطبيق الأكسس ليست على المنفذ المرتبط مع السيرفر عندها أنا أقوم بعمل overhead على الروتر لان عملية التوجيه على الروتر تمر على مراحل بدءا من الأكسس ليست على المنفذ in بعدها يتم تحديد الوجهة وبعدها يتم عمل أعادة encapsulate للباكيت من أجل الماك ادريس وعملية الـ Switching وآخيرا نعود للأكسس ليست على منفذ الـ out فهل برائيك الأفضل ان أسمح لكل هذه الأمور ان تحدث على الروتر أم ان أقوم بعمل Drop على الباكيت من أول خطوة
مثال من نوع آخر أريد ان أمنع كل الأجهزة من الوصول إلى السيرفر ماعدا أيبي واحد أريد أن اسمح له فما هو القرار الأفضل لهذه الأكسس ليست ====> أكيد تطبيق الأكسس ليست على المنفذ الأقرب للسيرفر وفي حالة out
NASA Science
26-09-2010, 15:28
كل الشكر والتقدير لجميع المشاركين فى هذا سؤال
جزاكم الله خيرا أخوتى الكرام
أخي العزيز انت وسيسكو على راسي بس انا مصر ان الموضوع لايوجد به قاعدة ولا تفضيل الموضوع مرتبط بالأكسس ليست نفسها وماهو المطلوب منها أن تمنعه أو تسمح به لاني لو رجعت إلى المثال السابق الذي طرحته server----R1------Pc وقمت بتطبيق الأكسس ليست على المنفذ المرتبط مع السيرفر عندها أنا أقوم بعمل overhead على الروتر لان عملية التوجيه على الروتر تمر على مراحل بدءا من الأكسس ليست على المنفذ in بعدها يتم تحديد الوجهة وبعدها يتم عمل أعادة encapsulate للباكيت من أجل الماك ادريس وعملية الـ Switching وآخيرا نعود للأكسس ليست على منفذ الـ out فهل برائيك الأفضل ان أسمح لكل هذه الأمور ان تحدث على الروتر أم ان أقوم بعمل Drop على الباكيت من أول خطوة
مثال من نوع آخر أريد ان أمنع كل الأجهزة من الوصول إلى السيرفر ماعدا أيبي واحد أريد أن اسمح له فما هو القرار الأفضل لهذه الأكسس ليست ====> أكيد تطبيق الأكسس ليست على المنفذ الأقرب للسيرفر وفي حالة out
بسم الله والحمد لله و الصلاة والسلام علي رسول الله وآله وصحبه وإخوانه أجمعين
انت وضعتها علي الـin لأنها extended اما لو كانت standard فالمفروض وضعها علي الـout للقيام بوظيفتها والله أعلم وخلاص الكلام
البينة علي من ادعي
نطالب البشمهندس ايمن النعيمي بمثال علي اكسس ليست ستاندرد تم وضعها علي الـin وأدت وظيفتها
امر اخر الاكسس ليست اللي حضرتك وضعتها منعت البورت 80، طيب لو فيه يوزر شرير وكتب في العنوان كده:
https//www.you>>>>.com، هذا يسلتزم entry أخر،
وصراحة ياجماعة الموضوع ده في سيسكو امكانياته اضعف من مايكروسوف
وصلي الله وسلم وبارك علي المصطفي وآله وصحبه وإخوانه أجمعين
one-zero
26-09-2010, 15:53
في حالة استخدام ال access list لعمل pointing على ترافيك لاستخدامها في امور اخرى وليس التامين مثلا في حالات ال qos لعمل مشاوره على ترافيك معين او في ال BGP فأن القاعده السابقه لاخونا جواد غير صحيحه
بمعنى اخر كلام الاخ جواد صحيح في اغلب السيناريوهات التامينيه و لكن في حاله واحده فقط وهي
استخدام ال access list كوسيلة تامينيه في منع او سماح لترافيك معين و ليس لعمل pointing
هذة الامور بتكون اوضح عند دراسة ال CCIP و ال CCSP
عموما
الاختلاف لا يفسد للود قضيه يا جماعه
لا بينه و لا ادعاء
كلنا اخوه بارك الله فيكم جميعا
رومانسيات
26-09-2010, 16:38
أخواني الأعزاء
أنا بشوف أفضل طريقة هي بعمل ال Regular Expression مع استخدام ال Class-map وال Policy-map
راح يكون عندك تحكم كامل بال link بغض النظر عن ال IP
تحياتي
أيمن النعيمي
26-09-2010, 20:14
بداية أحب أن أقول شيء مهم للجميع نحن هنا نتناقش فقط في محور علمي عملي وليست أثبات لرائي أو أي شيء آخر ثانوي والأراء والأفكار تختلف من شخص لآخر لذا نحن نحاول الوصول إلى شيء نتفق عليه جميعا وهذا طبعا عن نفسي وأظن أن جميع المشاركين لهم نفس الغاية
نعود لموضوعنا
انت وضعتها علي الـin لأنها extended اما لو كانت standard فالمفروض وضعها علي الـout للقيام بوظيفتها والله أعلم وخلاص الكلام
إذا كنت تقصد في المثال الأول أنا لم أضعها في الـ in لانها Extended بل لان الطلب يحتم علي ذلك وهو منع الجهاز من الأتصال مع السيرفر من خلال البورت 80 وسوف أعود لاطرح عليك أمثلة أكثر
نطالب البشمهندس ايمن النعيمي بمثال علي اكسس ليست ستاندرد تم وضعها علي الـin وأدت وظيفتها
حديثنا كان عن الـExtended-List ولم أذكر أن الـStandard من الممكن تطبيقه أينما شئت لان ببساطة الـStandard لن يسمح لي بتحديد السورس والديستينايشين لذلك التوجه دائما المنفذ الأقرب للهدف وليس لانها قاعدة ويجب تطبيقها
أما لو عدنا لنقطة نقاشنا وهي الـ Extended سوف أعرض عليك المثال السابق PC------R1-------Server وأطلب منك منعه من الأتصال من خلال المنفذ 80 سوف تقول لي in طيب سوف أعود وأطرح عليك مثال آخر
Pc2
|
|
|
server---------R1----------Pc1
أريد أن أمنع الجميع من الأتصال وطبعا أنت لاتفرض أنهم جهازان فقط بل أفرض أن هناك أكثر من شبكة متصلة مع الروتر وأريد أن أسمح لواحد فقط بالأتصال عندها سوف أقوم بكتابة الأكسس ليست وأسمح لذلك الشخص وأمنع البقية من الوصوصل وأقوم بتطبيقها على المنفذ المتصل مع السيرفر وفي حالة
Out لأعطيك مثال من سيسكو ومن أمتحان الـ CCNA الآخير والذي يدور حول الأكسس ليست
وكيفية منع الجميع من الوصول إلى الـ Finance server والسماح لجهاز الـ C بالوصول فقط
https://www.9tut.com/images/ccna/labsim/access_list_sim2.jpg
ولنشاهد الأعدادت من موقع 9tut وبأعتقادي أن لاغبار عليها
Corp1#configure terminal
Corp1(config)#access-list 100 permit tcp host 192.168.33.3 host 172.22.242.23 eq 80
Deny other hosts access to the Finance Web Server via web
Corp1(config)#access-list 100 deny tcp any host 172.22.242.23 eq 80
All other traffic is permitted
Corp1(config)#access-list 100 permit ip any any
Apply this access-list to Fa0/1 interface (outbound direction)
Corp1(config)#interface fa0/1
Corp1(config-if)#ip access-group 100 out
Notice: We have to apply the access-list to Fa0/1 interface (not Fa0/0 interface) so that the access-list can filter traffic coming from the Core network.
خلاصة هذا الكلام : لايوجد قاعدة في الموضوع برائي وهي ببساطة تعود على الأكسس ليست نفسها وما هو المطلوب تنفيذه على الشبكة يعني ممكن أطبقها in وممكن أطبقها على الـ Out
امر اخر الاكسس ليست اللي حضرتك وضعتها منعت البورت 80، طيب لو فيه يوزر شرير وكتب في العنوان كده:
https//www.you>>>>.com، هذا يسلتزم entry أخر،
أولا يجب أن أحدد هل الموقع يدعم الـ SSL أو لا فلو كان يدعم عندها يجب أن أضع entry آخرى وطبعا هذه الامر يجب أن يتم بكلا الحالتين In or Out
وصراحة ياجماعة الموضوع ده في سيسكو امكانياته اضعف من مايكروسوف
هذا ما أشرت له في أول مشاركة لي بأني سوف أحاول أن أحل المشكلة من خلال السوف وير وسوف أبتعد عن حلول الهاردوير
أيمن النعيمي
26-09-2010, 20:16
أخواني الأعزاء
أنا بشوف أفضل طريقة هي بعمل ال Regular Expression مع استخدام ال Class-map وال Policy-map
راح يكون عندك تحكم كامل بال link بغض النظر عن ال IP
تحياتي
تماما أخي رومانسيات وهو ما أشرت إله في أول مشاركة لي وهو لو في حال أردت حل هذه المشكلة على سيسكو فأنا سوف ألجا إلى Policy-Map
بسم الله والحمد لله والصلاة والسلام علي رسول الله وآله وصحبه وإخوانه أجمعين
طيب يابشمهندس ما تيجي نعمل قاعدة للكلام ده أنا اقول ولو فيه خطأ رجاء التصحيح إن شاء الله:
1- STANDARD ACCESS LISTS
يتم وضعها علي الـOUT لأن يتم وضعها عند الـDESTINATION وبالتالي لن تؤدي الغرض منها إذا تم وضعها علي الـIN
2-
EXTENDED ACCESS LISTS
أ- يتم وضعها علي الIN وذلك في حالة تم وضعها عند الSOURCE وبالطبع الSOURCE شبكة واحدة لأننا نستخدم ACL واحدة فقط
ب- يتم وضعها علي الOUT في حالة تم وضعها عن الDESTINATION وفي الغالب يكون الSOURCE أكثر من شبكة
هذا والله أعلي وأعلم
وصلي الله وسلم وبارك علي المصطفي وآله وصحبه وإخوانه أجمعين.
أيمن النعيمي
26-09-2010, 23:57
تمام أخي أحمد وبارك الله فيك وحقيقة النقاش دائما معك متعة
بسم الله والحمد لله والصلاة و السلام علي رسول الله وآله وصحبه وإخوانه أجمعين
جزاك الله خيرا يا بشمهندس أيمن،
أسأل الله العظيم رب العرش الكريم أن يزيدنا علماً وفهماً إنه ولي ذلك والقادر عليه
وصلي الله وسلم وبارك علي المصطفي وآله وصحبه وإخوانه أجمعين.
احمد عليو
27-09-2010, 00:20
السلام عليكم
انا اعتقد بهذه التجاربه العمليه نكون وصلنا الى عد افداف مراجه الصب نت و الاكسس لست و عملنا تطبيق عملى
akram_fetyan
27-09-2010, 11:16
وانا فعلا اقول ان المشكلة ان يمكن انا اخترت الرانج بتاع امريكا اما الشرق الاوسط فده ليه رانج تاني، بس النقطة هنا احنا حنقدر نعرف رانج الشرق الأوسط منين إن شاء الله؟
ICANN
Internet Corporation for Assigned Names and Numbers
https://www.icann.org
منظمة مختصة بتوزيع وإدارة عناوين الاي بي وأسماء المجال و ASN Autonoums System Number في جميع انحاء العالم
وتقوم باعطاء بعض المنظمات الصلاحية الإشراف على تخصيص الاي بي
IANA
Internet Assigned Numbers Authority
https://www.iana.org
تشرف منظمة على توزيع أرقام IP على مستوى العالم، وتدار بواسطة ICANN
حيث تقوم بالإشراف على منظمات فرعية تكون كل منظمة منها مسئولة عن جزء معين من العالم وهذه المنظمات الفرعية هي:
ARIN American Registry for Internet Numbers
https://www.arin.net (https://www.arin.net/)
منظمة تشرف على دول أميركا الشمالية والجنوبية
RIPE Réseaux IP Européen
وتشرف هذه المنظمة على منطقة أوروبا والشرق الأوسط وأجزاء من -إفريقيا.
APNIC Asia Pacific Network Information Center
وتشرف هذه المنظمة على دول آسيا.
LACNIC Latin American and Caribbean Internet
وتشرف هذه المنظمة على دول أميركا اللاتينية والكاريبي.
AfriNIC African Internet Numbers Registry IP Addresses
وتشرف هذه المنظمة هذه المنظمة على قارة إفريقيا.
تقوم كل منظمة من هذه المنظمات بالإشراف على توزيع أرقام IP للدول الواقعة تحت مجال إشرافها، ويوجد لكل منظمة قاعدة بيانات تمكنها من معرفة صاحب رقم IP معين، وتسمى هذه الخدمة بخدمة whois، حيث تقوم بإدخال رقم IP التابع لمنظمة معينة وستحصل على معلومات عمن يمتلك هذا IP
Powered by vBulletin® Version 4.2.5 Copyright © 2024 vBulletin Solutions, Inc. All rights reserved, TranZ by Almuhajir