Предыдущая тема :: Следующая тема |
Автор |
Сообщение |
Agp
Зарегистрирован: 26.03.2003 Сообщения: 101
|
Добавлено: Ср Апр 02 2003 17:13 Заголовок сообщения: Настройка firewall. Ping & Trace |
|
|
Здравствуйте. Подскажите кто знает теорию, можно ли закрыть на фаерволе пинг и открыть трайсерт; причем именно MS tracert. Или трэйс использует те же echo_request, echo_reply что и пинг?? |
|
Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001 Сообщения: 14893 Откуда: Н.Новгород
|
Добавлено: Ср Апр 02 2003 22:55 Заголовок сообщения: Re: Настройка firewall. Ping & Trace |
|
|
ping и tracert используют протокол ICMP. В нем есть несколько видов сообщений. Некоторые можно запретить, некоторые разрешить.
Почитай доки по TCP/IP на этом сайте.
Полный ответ не даю из принципа. Почитаешь - глядишь ума наберешься. |
|
Вернуться к началу |
|
|
Agp
Зарегистрирован: 26.03.2003 Сообщения: 101
|
Добавлено: Чт Апр 03 2003 08:20 Заголовок сообщения: В чем принцип? |
|
|
(без обид) просто может тоже стоит взять на вооружение |
|
Вернуться к началу |
|
|
bss Гость
|
Добавлено: Чт Апр 03 2003 08:50 Заголовок сообщения: Re: В чем принцип? |
|
|
Ну я тебе расскажу. Ты только подробнее опиши ситуацию. Необходимо запретить прохождение пинга или компьютер на котором стоит файрвол не должен отвечать на пинг ? |
|
Вернуться к началу |
|
|
Agp
Зарегистрирован: 26.03.2003 Сообщения: 101
|
Добавлено: Чт Апр 03 2003 09:17 Заголовок сообщения: Продолжение |
|
|
to and3008: а вы сами то знаете? то что ping & tracert используют протокол ICMP это вы поняли из моего вопроса(echo_request, ..) По моему скромному мнению полный ответ подразумевает объяснение, а не полный это 'можно ' или 'нельзя'; чего-то я не заметил у вас ни того ни другого.
А теперь для всех повторяю предположение что MS tracert использует echo_request & echo_reply при трасерте, и потому ничего не выйдет. ICMP сообщения типа 8 и 0, единственные, они не имеют разделения по коду. |
|
Вернуться к началу |
|
|
Agp
Зарегистрирован: 26.03.2003 Сообщения: 101
|
Добавлено: Чт Апр 03 2003 09:23 Заголовок сообщения: to bss |
|
|
Проблема теоритическая. Не спрашивайте какой у меня firewall, os, ... не скажу, вопрос о реализации мелкософтом tcp/ip протокола. Признаюсь я просто поспорил с коллегой на бутылку клинского.
Можно или нельзя запретить прохождение через фаерволл пакетов программы пинг, и разрешить пакетов программы tracert(от майкрософта).
Спасибо за понимание |
|
Вернуться к началу |
|
|
crash
Зарегистрирован: 02.11.2001 Сообщения: 1836 Откуда: Бердск
|
Добавлено: Чт Апр 03 2003 09:41 Заголовок сообщения: Re: to bss |
|
|
можно.. у меня так настроено... пинги не идут, а трейсроут пжалуста)) |
|
Вернуться к началу |
|
|
Agp
Зарегистрирован: 26.03.2003 Сообщения: 101
|
Добавлено: Чт Апр 03 2003 10:08 Заголовок сообщения: можно??? прошу объяснение?? |
|
|
- |
|
Вернуться к началу |
|
|
bss Гость
|
Добавлено: Чт Апр 03 2003 10:47 Заголовок сообщения: Re: Продолжение |
|
|
А теперь для всех повторяю предположение что MS tracert использует echo_request & echo_reply при трасерте, и потому ничего не выйдет. ICMP сообщения типа 8 и 0, единственные, они не имеют разделения по коду.
так и есть!!! только для того чтобы работал трасерт надо еще разрешить прохождение пакетов 11 -го типа в обратную сторону. Это теория!!!
Счас закрою на файрволе прохождение пакетов 8 го типа - это будет практика.
доложу через 30 минут. |
|
Вернуться к началу |
|
|
Agp
Зарегистрирован: 26.03.2003 Сообщения: 101
|
Добавлено: Чт Апр 03 2003 11:14 Заголовок сообщения: Re: Продолжение |
|
|
Не согласен не нужно разрешать пакеты 11 типа для Microsoft tracert, у меня и без них работает. |
|
Вернуться к началу |
|
|
Agp
Зарегистрирован: 26.03.2003 Сообщения: 101
|
Добавлено: Чт Апр 03 2003 11:21 Заголовок сообщения: Прошу прощения нужны 11е |
|
|
Это я ошибся. Выборку неправильную сделал. |
|
Вернуться к началу |
|
|
Agp
Зарегистрирован: 26.03.2003 Сообщения: 101
|
Добавлено: Чт Апр 03 2003 11:24 Заголовок сообщения: Для промежуточных узлов, конечный ответит echo_reply, kod |
|
|
- |
|
Вернуться к началу |
|
|
bss Гость
|
Добавлено: Чт Апр 03 2003 11:46 Заголовок сообщения: Re: Для промежуточных узлов, конечный ответит echo_reply, kod |
|
|
Докладываю практическое задание выполнено практика полностью подтверждает теорию
будет требовать у господина crash объяснения как же это у него работает ? |
|
Вернуться к началу |
|
|
crash
Зарегистрирован: 02.11.2001 Сообщения: 1836 Откуда: Бердск
|
Добавлено: Пт Апр 04 2003 07:40 Заголовок сообщения: Re: Для промежуточных узлов, конечный ответит echo_reply, kod |
|
|
а хз... все настраивалось до меня, и все работает...)))) |
|
Вернуться к началу |
|
|
crash
Зарегистрирован: 02.11.2001 Сообщения: 1836 Откуда: Бердск
|
Добавлено: Пт Апр 04 2003 07:46 Заголовок сообщения: Re: например так..))) |
|
|
permit icmp any any echo permit icmp any any traceroute permit icmp any any host-unreachable ... ... deny ip any any |
|
Вернуться к началу |
|
|
bss Гость
|
Добавлено: Пт Апр 04 2003 08:30 Заголовок сообщения: Re: например так..))) |
|
|
Ты лучше напиши как у тебя это выглядит. Если я правильно понял то пинг любого хоста в интернет не проходит через файрвол а трасерт проходит ? |
|
Вернуться к началу |
|
|
crash
Зарегистрирован: 02.11.2001 Сообщения: 1836 Откуда: Бердск
|
Добавлено: Пт Апр 04 2003 10:02 Заголовок сообщения: Ответ на: "Re: например так..)))- bss- 04-04-2003 09:30" Re: например так..))) |
|
|
угу, ты правильно понял ну я написал как входящие permit icmp any any echo-reply log permit icmp any any traceroute log permit icmp any any host-unreachable log permit icmp any any time-exceeded log permit icmp any any echo log deny ip any any исходящие permit icmp any any echo permit icmp any any traceroute permit icmp any any host-unreachable deny ip any any
там еще куча правил, но к icmp отношения уже не имеют... фаервол стоит на циске.. |
|
Вернуться к началу |
|
|
bss Гость
|
Добавлено: Пт Апр 04 2003 10:22 Заголовок сообщения: Есть знатоки по циске разжуйте че написано |
|
|
входящие permit icmp any any echo-reply log permit icmp any any traceroute log permit icmp any any host-unreachable log permit icmp any any time-exceeded log permit icmp any any echo log deny ip any any исходящие permit icmp any any echo permit icmp any any traceroute permit icmp any any host-unreachable deny ip any any |
|
Вернуться к началу |
|
|
crash
Зарегистрирован: 02.11.2001 Сообщения: 1836 Откуда: Бердск
|
Добавлено: Пт Апр 04 2003 13:42 Заголовок сообщения: Re: Есть знатоки по циске разжуйте че написано |
|
|
а чего разжовывать то скажи???))) входящие пакеты и исходящие описаны... |
|
Вернуться к началу |
|
|
bss Гость
|
Добавлено: Пт Апр 04 2003 15:44 Заголовок сообщения: что значит входящие пакеты описаны ????? какие действия к этим пакетам применяются ????? |
|
|
нет у меня желания разбираться в синтаксисе файрвола циски
либо расскажи какие действия применяются к пакетам в этих правилах либо не гони пургу
трасерт использует также как и пинг Icmp Echo Request а посему если прохождение пакетов Icmp Echo Request закрыто на файрволе то и трасерт работать не будет т.ч.к. |
|
Вернуться к началу |
|
|
MiK
Зарегистрирован: 03.04.2002 Сообщения: 333 Откуда: пос. Ново-%буново
|
Добавлено: Сб Апр 05 2003 15:42 Заголовок сообщения: Могу перечислить массу IP на которые ping проходит а tracert нет |
|
|
У меня этим вопросом занимается банальный WinGate |
|
Вернуться к началу |
|
|
bss Гость
|
Добавлено: Сб Апр 05 2003 15:46 Заголовок сообщения: ты бы внимательно прочитал о чем речь идет а потом писал !!!!! |
|
|
ты бы внимательно прочитал о чем речь идет а потом писал !!!!! |
|
Вернуться к началу |
|
|
|