| Предыдущая тема :: Следующая тема |
| Автор |
Сообщение |
Agp
Зарегистрирован: 26.03.2003
Сообщения: 101
|
 Добавлено: Ср Апр 02 2003 17:13 Заголовок сообщения: Настройка firewall. Ping & Trace |
 |
|
Здравствуйте.
Подскажите кто знает теорию, можно ли закрыть на фаерволе пинг и открыть трайсерт; причем именно MS tracert. Или трэйс использует те же echo_request, echo_reply что и пинг?? |
|
| Вернуться к началу |
|
 |
and3008
Зарегистрирован: 12.10.2001
Сообщения: 14893
Откуда: Н.Новгород
|
| Добавлено: Ср Апр 02 2003 22:55 Заголовок сообщения: Re: Настройка firewall. Ping & Trace |
|
|
ping и tracert используют протокол ICMP. В нем есть несколько видов сообщений. Некоторые можно запретить, некоторые разрешить.
Почитай доки по TCP/IP на этом сайте.
Полный ответ не даю из принципа. Почитаешь - глядишь ума наберешься. |
|
| Вернуться к началу |
|
|
Agp
Зарегистрирован: 26.03.2003
Сообщения: 101
|
| Добавлено: Чт Апр 03 2003 08:20 Заголовок сообщения: В чем принцип? |
|
|
| (без обид) просто может тоже стоит взять на вооружение |
|
| Вернуться к началу |
|
|
bss
Гость
|
| Добавлено: Чт Апр 03 2003 08:50 Заголовок сообщения: Re: В чем принцип? |
|
|
Ну я тебе расскажу.
Ты только подробнее опиши ситуацию.
Необходимо запретить прохождение пинга или компьютер на котором стоит файрвол не должен отвечать на пинг ? |
|
| Вернуться к началу |
|
|
Agp
Зарегистрирован: 26.03.2003
Сообщения: 101
|
| Добавлено: Чт Апр 03 2003 09:17 Заголовок сообщения: Продолжение |
|
|
to and3008: а вы сами то знаете?
то что ping & tracert используют протокол ICMP это вы поняли из моего вопроса(echo_request, ..)
По моему скромному мнению полный ответ подразумевает объяснение, а не полный это 'можно ' или 'нельзя'; чего-то я не заметил у вас ни того ни другого.
А теперь для всех повторяю предположение что MS tracert использует echo_request & echo_reply при трасерте, и потому ничего не выйдет. ICMP сообщения типа 8 и 0, единственные, они не имеют разделения по коду. |
|
| Вернуться к началу |
|
|
Agp
Зарегистрирован: 26.03.2003
Сообщения: 101
|
| Добавлено: Чт Апр 03 2003 09:23 Заголовок сообщения: to bss |
|
|
Проблема теоритическая. Не спрашивайте какой у меня firewall, os, ... не скажу, вопрос о реализации мелкософтом tcp/ip протокола.
Признаюсь я просто поспорил с коллегой на бутылку клинского.
Можно или нельзя запретить прохождение через фаерволл пакетов программы пинг, и разрешить пакетов программы tracert(от майкрософта).
Спасибо за понимание |
|
| Вернуться к началу |
|
|
crash
Зарегистрирован: 02.11.2001
Сообщения: 1836
Откуда: Бердск
|
| Добавлено: Чт Апр 03 2003 09:41 Заголовок сообщения: Re: to bss |
|
|
можно.. у меня так настроено...
пинги не идут, а трейсроут пжалуста)) |
|
| Вернуться к началу |
|
|
Agp
Зарегистрирован: 26.03.2003
Сообщения: 101
|
| Добавлено: Чт Апр 03 2003 10:08 Заголовок сообщения: можно??? прошу объяснение?? |
|
|
| - |
|
| Вернуться к началу |
|
|
bss
Гость
|
| Добавлено: Чт Апр 03 2003 10:47 Заголовок сообщения: Re: Продолжение |
|
|
А теперь для всех повторяю предположение что MS tracert использует echo_request & echo_reply при трасерте, и потому ничего не выйдет. ICMP сообщения типа 8 и 0, единственные, они не имеют разделения по коду.
так и есть!!!
только для того чтобы работал трасерт надо еще разрешить прохождение пакетов 11 -го типа в обратную сторону. Это теория!!!
Счас закрою на файрволе прохождение пакетов 8 го типа - это будет практика.
доложу через 30 минут. |
|
| Вернуться к началу |
|
|
Agp
Зарегистрирован: 26.03.2003
Сообщения: 101
|
| Добавлено: Чт Апр 03 2003 11:14 Заголовок сообщения: Re: Продолжение |
|
|
| Не согласен не нужно разрешать пакеты 11 типа для Microsoft tracert, у меня и без них работает. |
|
| Вернуться к началу |
|
|
Agp
Зарегистрирован: 26.03.2003
Сообщения: 101
|
| Добавлено: Чт Апр 03 2003 11:21 Заголовок сообщения: Прошу прощения нужны 11е |
|
|
| Это я ошибся. Выборку неправильную сделал. |
|
| Вернуться к началу |
|
|
Agp
Зарегистрирован: 26.03.2003
Сообщения: 101
|
| Добавлено: Чт Апр 03 2003 11:24 Заголовок сообщения: Для промежуточных узлов, конечный ответит echo_reply, kod |
|
|
| - |
|
| Вернуться к началу |
|
|
bss
Гость
|
| Добавлено: Чт Апр 03 2003 11:46 Заголовок сообщения: Re: Для промежуточных узлов, конечный ответит echo_reply, kod |
|
|
Докладываю
практическое задание выполнено
практика полностью подтверждает теорию
будет требовать у господина crash объяснения как же это у него работает ? |
|
| Вернуться к началу |
|
|
crash
Зарегистрирован: 02.11.2001
Сообщения: 1836
Откуда: Бердск
|
| Добавлено: Пт Апр 04 2003 07:40 Заголовок сообщения: Re: Для промежуточных узлов, конечный ответит echo_reply, kod |
|
|
| а хз... все настраивалось до меня, и все работает...)))) |
|
| Вернуться к началу |
|
|
crash
Зарегистрирован: 02.11.2001
Сообщения: 1836
Откуда: Бердск
|
| Добавлено: Пт Апр 04 2003 07:46 Заголовок сообщения: Re: например так..))) |
|
|
permit icmp any any echo
permit icmp any any traceroute
permit icmp any any host-unreachable
...
...
deny ip any any |
|
| Вернуться к началу |
|
|
bss
Гость
|
| Добавлено: Пт Апр 04 2003 08:30 Заголовок сообщения: Re: например так..))) |
|
|
Ты лучше напиши как у тебя это выглядит.
Если я правильно понял то пинг любого хоста в интернет не проходит через файрвол а трасерт проходит ? |
|
| Вернуться к началу |
|
|
crash
Зарегистрирован: 02.11.2001
Сообщения: 1836
Откуда: Бердск
|
| Добавлено: Пт Апр 04 2003 10:02 Заголовок сообщения: Ответ на: "Re: например так..)))- bss- 04-04-2003 09:30" Re: например так..))) |
|
|
угу, ты правильно понял
ну я написал как
входящие
permit icmp any any echo-reply log
permit icmp any any traceroute log
permit icmp any any host-unreachable log
permit icmp any any time-exceeded log
permit icmp any any echo log
deny ip any any
исходящие
permit icmp any any echo
permit icmp any any traceroute
permit icmp any any host-unreachable
deny ip any any
там еще куча правил, но к icmp отношения уже не имеют... фаервол стоит на циске.. |
|
| Вернуться к началу |
|
|
bss
Гость
|
| Добавлено: Пт Апр 04 2003 10:22 Заголовок сообщения: Есть знатоки по циске разжуйте че написано |
|
|
входящие
permit icmp any any echo-reply log
permit icmp any any traceroute log
permit icmp any any host-unreachable log
permit icmp any any time-exceeded log
permit icmp any any echo log
deny ip any any
исходящие
permit icmp any any echo
permit icmp any any traceroute
permit icmp any any host-unreachable
deny ip any any |
|
| Вернуться к началу |
|
|
crash
Зарегистрирован: 02.11.2001
Сообщения: 1836
Откуда: Бердск
|
| Добавлено: Пт Апр 04 2003 13:42 Заголовок сообщения: Re: Есть знатоки по циске разжуйте че написано |
|
|
а чего разжовывать то скажи???)))
входящие пакеты и исходящие описаны... |
|
| Вернуться к началу |
|
|
bss
Гость
|
| Добавлено: Пт Апр 04 2003 15:44 Заголовок сообщения: что значит входящие пакеты описаны ????? какие действия к этим пакетам применяются ????? |
|
|
нет у меня желания разбираться в синтаксисе файрвола циски
либо расскажи какие действия применяются к пакетам в этих правилах либо не гони пургу
трасерт использует также как и пинг Icmp Echo Request а посему если прохождение пакетов Icmp Echo Request закрыто на файрволе то и трасерт работать не будет т.ч.к. |
|
| Вернуться к началу |
|
|
MiK
Зарегистрирован: 03.04.2002
Сообщения: 333
Откуда: пос. Ново-%буново
|
| Добавлено: Сб Апр 05 2003 15:42 Заголовок сообщения: Могу перечислить массу IP на которые ping проходит а tracert нет |
|
|
| У меня этим вопросом занимается банальный WinGate |
|
| Вернуться к началу |
|
|
bss
Гость
|
| Добавлено: Сб Апр 05 2003 15:46 Заголовок сообщения: ты бы внимательно прочитал о чем речь идет а потом писал !!!!! |
|
|
| ты бы внимательно прочитал о чем речь идет а потом писал !!!!! |
|
| Вернуться к началу |
|
|
|
FAQ 
Поиск 
Пользователи 
Группы
Регистрация
Профиль 
Войти и проверить личные сообщения 
Вход 
