Armis
April 16th, 2016, 18:52
فصل پنجم : *****ینگ
بخش سوم :
مثال 4) فقط یک سری کاربران بتوانند به کمک Webfig به روتر R3 دسترسی داشته باشند.
ابتدا یک آدرس لیست از کاربرانی که می خواهیم دسترسی به آنها بدهیم اجاد می کنیم سپس *****ینگ اعمال می کنیم.
برای ایجاد کردن آدرس لیست از منوی اصلی گزینه IP و از زیرمنوی باز شده Firewall را انتخاب میکنیم و از پنجره بازشده به بخش Addres List رفته و بر روی ADD کلیک می کنیم.در پنجره باز شده هر چند کاربر که مورد نیاز باشد را تعریف میکنیم.(براساس آی پی )
30891
دلیل اینکه در قسمت Address : 192.168.10.2 را وارد نکردیم این بود که این IP از طریق روتر R1 ، Nat می شود به همین خاطر IP:200.1.1.1 را وارد کردیم در صورت نوشتن IP:192.168.10.2 به جواب نخواهیم رسید.
30892
30893
در Src-Address List آدرس لیستی که خودمان ایجاد کردیم را انتخاب می کنیم و گزینه Not را نیز فعال می کنیم تا فقط کاربرانی که خودمان انتخاب کردیم بتوانند به Webfig روتر R3 دسترسی داشته باشند.
30896
مثال 5) میخواهیم رولی ایجاد کنیم که هیچ سیستمی نتواند روتر R3 را Ping کند.
30897
30898
با تنظیم این *****ینگ بسته هایی که به روتر R3 وارد می شود ping داده نمی شود.در قسمت Reject With پیامی که خودمان مشخص کردیم نشان داده می شود.اگر از داخل روتر به یک شبکه دیگر Ping بدیم پیام Timeout داده می شود چون ICMP یک پیام دو طرفس که دارای Send و Recive می باشد.ما می خواهیم یک استثنا قائل شویم تا اگر از داخل روتر Ping زدیم باز باشد ولی از هر شبکه ایی خواستن روتر را Ping کنند بسته باشد.
30899
30898
با این تنظیمات زمانی که از داخل روتر به هر شبکه ایی Ping بزنیم بسته ICMP ***** نمی باشد.
نکته : در صورتی که هنوز نمی توانستید از داخل روتر Ping کنید از پنجره Firewall به بخش Connections رفته و بر روی Traking کلیک کرده و از پنجره بازشده یکبار تیک گزینه Enable را برداشته Ok میزنیم و سپس مجددا آن تیک را قرار می دهیم.در خیلی از موارد که ما با فایروال کار می کنیم و به جواب نمیرسیم با این کار مشکل ما حل می شود.(براساس تجربه)
30900
مثال 6) هیچ سیستمی اجازه ارتباط از طریق Telnet به هیچ مقصدی را نداشته باشد.
30901
30902
با این تنظیم چنانچه سیستمی بخواهد به خود روتر Telnet بزند مشکلی وجود ندارد اما چنانچه بخواهید این رول را طوری تنظیم کنید که کلاینت ها نتوانند به روتر Telnet بزنند باید Chain=input قرار دهید.
:53::53::53:در قسمت بعدی با انجام یک سناریو جدید به ادامه آموزش می پردازیم:53::53::53:
بخش سوم :
مثال 4) فقط یک سری کاربران بتوانند به کمک Webfig به روتر R3 دسترسی داشته باشند.
ابتدا یک آدرس لیست از کاربرانی که می خواهیم دسترسی به آنها بدهیم اجاد می کنیم سپس *****ینگ اعمال می کنیم.
برای ایجاد کردن آدرس لیست از منوی اصلی گزینه IP و از زیرمنوی باز شده Firewall را انتخاب میکنیم و از پنجره بازشده به بخش Addres List رفته و بر روی ADD کلیک می کنیم.در پنجره باز شده هر چند کاربر که مورد نیاز باشد را تعریف میکنیم.(براساس آی پی )
30891
دلیل اینکه در قسمت Address : 192.168.10.2 را وارد نکردیم این بود که این IP از طریق روتر R1 ، Nat می شود به همین خاطر IP:200.1.1.1 را وارد کردیم در صورت نوشتن IP:192.168.10.2 به جواب نخواهیم رسید.
30892
30893
در Src-Address List آدرس لیستی که خودمان ایجاد کردیم را انتخاب می کنیم و گزینه Not را نیز فعال می کنیم تا فقط کاربرانی که خودمان انتخاب کردیم بتوانند به Webfig روتر R3 دسترسی داشته باشند.
30896
مثال 5) میخواهیم رولی ایجاد کنیم که هیچ سیستمی نتواند روتر R3 را Ping کند.
30897
30898
با تنظیم این *****ینگ بسته هایی که به روتر R3 وارد می شود ping داده نمی شود.در قسمت Reject With پیامی که خودمان مشخص کردیم نشان داده می شود.اگر از داخل روتر به یک شبکه دیگر Ping بدیم پیام Timeout داده می شود چون ICMP یک پیام دو طرفس که دارای Send و Recive می باشد.ما می خواهیم یک استثنا قائل شویم تا اگر از داخل روتر Ping زدیم باز باشد ولی از هر شبکه ایی خواستن روتر را Ping کنند بسته باشد.
30899
30898
با این تنظیمات زمانی که از داخل روتر به هر شبکه ایی Ping بزنیم بسته ICMP ***** نمی باشد.
نکته : در صورتی که هنوز نمی توانستید از داخل روتر Ping کنید از پنجره Firewall به بخش Connections رفته و بر روی Traking کلیک کرده و از پنجره بازشده یکبار تیک گزینه Enable را برداشته Ok میزنیم و سپس مجددا آن تیک را قرار می دهیم.در خیلی از موارد که ما با فایروال کار می کنیم و به جواب نمیرسیم با این کار مشکل ما حل می شود.(براساس تجربه)
30900
مثال 6) هیچ سیستمی اجازه ارتباط از طریق Telnet به هیچ مقصدی را نداشته باشد.
30901
30902
با این تنظیم چنانچه سیستمی بخواهد به خود روتر Telnet بزند مشکلی وجود ندارد اما چنانچه بخواهید این رول را طوری تنظیم کنید که کلاینت ها نتوانند به روتر Telnet بزنند باید Chain=input قرار دهید.
:53::53::53:در قسمت بعدی با انجام یک سناریو جدید به ادامه آموزش می پردازیم:53::53::53: