Reflexive ACLs vs. CBAC
https://tcpmag.com/qanda/article.asp?EditorialsID=379
Reflexive ACLs vs. CBAC
https://tcpmag.com/qanda/article.asp?EditorialsID=379
ال perfixive acl دى اختراع رهيب بجد للحمايه وامن الشبكه
لكن ما زلت بكل اسف هتوجهنا نفس المشكله
نرجع للمثل بتعنا عشان نقدر نفكر اكثر فى المشكله
A------------ ROUTER -------------------- B
هنطبق ال temprary acl بتعتنا على الروتر
هتيجى الباكت طالعه من a رايحه الى b تلقى السيشن مفتوحه تدخلى ى الفل
لغايه كدا احنا لسه ما ممنعناش ان b يدخل نهائيا على a
طيب هيفضل السؤال قائم ازاى احطله اكسس ليست فى طريق الباكيت
مع العلم ان الباكيت دى لو اى حد اعترض طريقها هتوقف فى الحال وعمرها ما هتوصل الى a
حتى لو كان a فاتحلها سيشن
لان permnat acl will override tha temporary acl
an drop the packet
امر محير حقيقى
وسناريو جميل بجد وما زلنا فى انتظار الحل والافكار
the light in the end of the tunnel
من يعين الناس . لابد ان تأتيه المعونه.
sheno شوف الفيديو دا
https://www.youtube.com/watch?v=VfX0...U&feature=plcp
حاضر يا غالى هشوفه واقللك راىى
the light in the end of the tunnel
من يعين الناس . لابد ان تأتيه المعونه.
Cisco Context Based Access Control (CBAC)
يا الهى اخيرا الحل وصل
فعلا ال cbac دى اختراع عظيم
شغاله بنظرية رسم دخول الحديقه
stamp mechanism
تسلم ايدك يا غالى
the light in the end of the tunnel
من يعين الناس . لابد ان تأتيه المعونه.
اذن الاجابه بالنسبه لاخونا اللى طرح السؤال موجوده فى الفديو بتاع ال contect acl
ولتطبيق ذلك
وفقا للسناريو اللى حضرتك حطوا
متعملشى زى الفديو
لانك لو عملت زى الفديو هتتضر تكتب اومرك مرتين على كل انترفيس متصل بشبكه
ولكن طبق مره واحده على الانترفيس الداخلى المتصل بمباشرتا بالاداره
A------------e0.0 router e0/1 ---------b
|
|
e0/2
C
هتطبق انت على الانترفيس A e0/0
او لو عاوز تكتبهم تحت الانترفيزين المتصلين بالشبكات برضوا براحتك
the light in the end of the tunnel
من يعين الناس . لابد ان تأتيه المعونه.
حسب ال IOS
Reflexive ACLs are part of the "ip plus" feature set
CBAC is part of the "firewall" feature set
الله يجزيكم الخير جميعا ، على مهلكم علي انا لسا طالب ccna هههههههههههه
انا بتابع فيديوهات الدورة وبطبق كل شيء على ال packet tracer
انتوا بتحكوا شغلات فعلا غريبة علي وبنتعلم منكم
اما انا جربت اعمل سيميوليشن وزي ما قال اخونا الباكيت بتوصل للجهاز ولما ترجع بتلاقي ال acl
مشان هيك request time out
دعواتكم انا ناوي اقدم الامتحان وان شاء الله اوصل للمستوى الي اقدر اساعد الناس فيه
اصدقائي لاحظت انه حتى في ال extended لو منعت بروتوكول مثل ال telnet فانه حتى لو قمنا بعمل PING
النتيجة REQEST TIME OUT
deny tcp any 192.168.1.0 0.0.0.255 eq www
permit tcp any any
كمثال :
قم بعمل بينج ل 192 فالنتيجة كما هي فوق
السبب انه افترض انه عمل DENY لباقي البروتوكولات
الحل ان نعمل
PERMIT ICMP ANY ANY بالنهاية
،،، اما بالنسبة لل STANDRD فالاجابة ان ECHO لا يصل اظنها منطقية والحل بدري علي شوي افهمه
التعديل الأخير تم بواسطة khrbji ; 23-08-2012 الساعة 04:21
مبروك يا باشا اديك اتعلمت واحنا كمان اتقشنا واتعلمنا
وده هدف منتدانا الجميل زى منتا شايف عضو بيسال لو عارفين بنجاوب عليه لو مش عارفين بندور ونسعى ونسال بعض
عشان مشكلتك هيا مشكلتنا واللى وقف قدامك انهارده بكره بل قل بعد 5 دقايق ممكن يقف قصادى
فاحسن نواهه ونحله ونستفاد كلنا
بالنسبه لل reflexive list
انا عرفت انها تعمل temporary acl يعنى لا يوجد هناك حاجه ان يبقى عندى permanat اخرى
عشان كدا التجربه نجحت ومحصلشى override للترافيك
ولذلك افضل زى ما اخونا قال ان الروتر تطبق عليه reflexive acl list
ومع ذلك دى تكنولوجيا قديمه وبقا فيها احدث منها اللى هيا context acl اللى مليئه بالتفاصيل
وكمان firwall
يمكن دى اشياء خاصه مجال السكيورتى ولكن ادينا اتعلمنا من الفديوهين الرائعين دوول فوائد هامه وكويسه
تمنياتى بالتوفيق
التعديل الأخير تم بواسطة sheno ; 23-08-2012 الساعة 08:49
the light in the end of the tunnel
من يعين الناس . لابد ان تأتيه المعونه.
المشاركة الأصلية كتبت بواسطة khrbji
اصدقائي لاحظت انه حتى في ال extended لو منعت بروتوكول مثل ال telnet فانه حتى لو قمنا بعمل PING
النتيجة REQEST TIME OUT
deny tcp any 192.168.1.0 0.0.0.255 eq www
permit tcp any any
كمثال :
قم بعمل بينج ل 192 فالنتيجة كما هي فوق
السبب انه افترض انه عمل DENY لباقي البروتوكولات
الحل ان نعمل
PERMIT ICMP ANY ANY بالنهاية
،،، اما بالنسبة لل STANDRD فالاجابة ان ECHO لا يصل اظنها منطقية والحل بدري علي شوي افهمه
زى منتا اكتشفت يا غالى
انك عملت deny tcp
وبتعمل بينج فاتمنع
وانت اكتشفت ان السبب كان فى ايه ؟ انه عمل deny all for everry thing
فانت حلتها انك عرفت ان البروتكول بتاع ال ping يتبع ال icmp فاسمحتله يعدى
طيب لو متعرفشى هوا يتبع عائله ايه ؟
هتعمل ايه؟
عادى خالص
هيا الاكسس ليست بنتهى بايه فى اخرها
deny ip any any
اعكس الايه
permit ip any any
كداا هيفتحلك الطريق لكل الخير ده طبعا فى حالة لو انت مش عارف نوع البروتكول و مش عاوز تخصص المضووع
اما للتخصيص فانت عارف قصته
تمنياتى بالتوفيق
the light in the end of the tunnel
من يعين الناس . لابد ان تأتيه المعونه.
اشكرك وبشدة فعلا permit ip any any ما خطرت في بالي ،،
عندي سؤال اخر بالنسبة لل named acl كيف بدي ارقمها !! عشان اقدر اعدل عليها ؟ كيف بدي اعرف واعدل ال ارقام السطور ؟
انا ال البرنامج الي عندي 5.2 بدعم الشغلة هاي ؟
لازم يكون المحاكى فيه خاصية ال seq no
زى مثلا ال gns3
لكن الباكيت تريسر معتقدشى ان فيه seq no
سواء اصدارتك او اصدارتى 5.3
مفهمشى ال seq no
the light in the end of the tunnel
من يعين الناس . لابد ان تأتيه المعونه.
محتاجين نعمل بحث على private VLAN
[RIGHT][FONT=Comic Sans MS][SIZE=5][COLOR=blue]CCNA certified[/COLOR][/SIZE][/FONT][/RIGHT]
المفضلات