ad-top
آخر الأخبار
Networking

ACL

صورة
محمد الشوداني
اخر تحديث :

Access Control List

الدور ديالو كما هو ظاهر على إسمو.. أنه كيتحكم.. فيااش كيتحكم ؟ كيتحكم فالترافيك أو فالبيانات لي كتمشي وتجي بين الأجهزة.. تقريبا الدور ديالو بحال الفيروال.. يعني كيفيلطري لينا المعلومات وكيدوز ويمنع داكشي لي قلنا ليه حنى.. يعني ببساطة هو الديوانة كيمنع ويدوز فنفس الوقت..

نعطيو المثال كيف العادة.. لأنه بالمثال يتضح المقال.. عندنا شي شركة.. مولاها مابغاش الموظفين يبقاو يدخلو لشي قسم معين.. كيمشي كيعطي الدروا ويدخل لي كوموند لي بغى وكيمنع عليهم داكشي لي بغى ويعطيهم لاكسي لداكشي لي بغى.. كنظن صافي اتضحت الفكرة..

الجزء الأول: Les access list Numèrotè

عندنا:

Standard:

هاد النوع كيفيلتري حسب رقم الأيبي (ip) ديال المرسل.. يعني هذاك لي غايجيو من عندو لي دوني.. وماكيديهاش فالأيبي ديال الجهاز لي غايستقبل.. يعني الى بغينا نبلوكيو شي جهاز مايدوزوش لي دوني ديالو للشبكة ديالنا.. يكفي أننا ندخلو الأيبي ديالو عبر ليكوموند وهاكذا غانكونو بلوكيناه وكذلك نفس الأمر الى بغيناه يدوز لي دوني ديالو..

وهاد النوع عندو واحد لابلاج ديال الارقام أو Range يعني بحال لنفترض غانديرو هاد العملية بزاف دالمرات.. باش داكشي مايكونش مخربق.. خاص كل عملية تكون بوحدها.. لذلك دارو هاد لابلاج لي محددة من رقم 1 حتى لرقم 99.. ولكن من بعد جاو الشركات وبداو كيستعملو هاد ال ACL وكاين الشركة لي كدير مجموعة من العمليات بهاد الطريقة وماقدتهمش ديك لابلاج.. هنا ناضو المطورين ديال هاد التقنية وكبرو المجال ديال الارقام.. بحال البلان ديال ipv4 مع ipv6 .. وزادو بلاج جديدة من 1300 حتى ل 1999 .. يعني ولات بلاج كبيرة من 1 حتى ل 99 ومن 1300 حتى ل 1999 وأي رقم كتبتيه محصور بين هاد الأعداد.. فراه الروتور غايفهمك بلي راك باغي تطبق عملية Standard Acl لي كتعتامد غير على الأيبي ديال المرسل كيف قلنا الفوق..

غانعطيو مثال باش نفهمو هاد العجب..

Router(config)#access-list 78 deny 192.168.1.1 0.0.255.255

Router(config)#access-list 78 deny host 192.168.1.1

الشرح:

هنا دخلنا للمود ديال الكونفيغ طبعا.. كتبنا الكوموند الرئيسية هي الاولى وحددنا ليه الرقم ديال العملية لي بغينا سمينها 78 مثلا.. قلنا ليه Deny يعني منع لينا ديك لادريس 192.168.1.1 وكتبنا قدامها الماسك جينيريك، او تقدر تستعمل الميطود الثانية.

هاكذا كتكتب الكوموند بكل بساطة.. والى بغينا نقولو ليه سمح ليها تدوز.. غانبدلو Deny ب Permet.

حتى لهنا راه هادشي مزال ما خداامش. حيت مزال ما تآبليكاش، باش نآبليكيوه. غانبقاو فنفس الروتور ونمشيو للانطيرفاس ديال الريزو لي عندنا به الغرض. ونديرو هادشي:

Router(config)#interface G0/0

Router(config-if)#ip access-group 78 in

الشرح:

من بعد ما دخلنا للانطيرفاس، كتبنا الكوموند لي كتآكتيفي لينا ال acl وزدنا موراها in ، حيت لي دوني غايجيو من برا وغايدخلو للروتور ديالنا. اما كن كانو غايخرجو منو كنا غانديرو out.

Extended:

هاد النوع كيفيلتري حسب الرقم دالأيبي ديال المرسل والمستقبل وحتى الرقم ديال البورت والبروتوكولات.. وكذلك هاد النوع عندو حتى هو واحد لابلاج ديالو خاصة بيه.. ولي هي من 100 حتى ل 199 وطبعا لأنها تقنية أفضل من الاولى وغايلجأ ليها الكثير من الاشخاص ويستعملوها بزااف.. غايخرجو بلاج اخرى ولي كتبدا من 2000 حتى ل 2699 .. وتقريبا كتخدم بحال ال Standad غا كيختالفو شويا فليكوموند..

R1(config)# access-list 100 permit tcp 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 eq 80

الشرح:

درنا الكوموند ديال acl وزدنا قدامها 100 باش يعرف بلي را حنى خدامين على نوع Etendues وعطيناه الحق باش يخلي داك المرسل لي هو الريزو 192.168.1.0 يتكومينيكا مع المستقبل 192.168.2.0 عن طريق البورت 80 لي خاص بالويب وباستخدام البروتوكول tcp.

باش نآبليكيو هاد الكونفيكيراسيون ويخدم لينا acl عادي. غادي ندخلو للانطيرفاص لي بغينا نديرو فيها هادشي. ونكتبو الكوموند:

R1(config)#int f0/1

R1(config-if)# ip access-group 100 in

الشرح:

من بعد ما دخلت للانطيرفاص، كتبت الكوموند ديال ip access-group ودرت الرقم ديال ال acl ديالي لي هو 100 ومن بعد عطيتها in على حسب اش عندك. الى كان الطرافيك ايخرج من عندك راه غادير out الى كان غايدخل من جهة اخرى غادير in.

الجزء الثاني: Les access list Nommèe

عندنا:

Standard:

هنا كتختالف الكونفيغراسيون شويا على ال Standard Numerote, بحيث هنا كنوليو نكتبو الاسم ديال acl لي بغينا وماكنتبوش الرقم ديالها:

R1(config)# ip access-list Standard Darijatec

R1(config-std-nacl)#permit 192.168.1.0 0.0.0.255

الشرح:

هنا تبدلات الكوموند كيف قلنا. ولينا كنبداو بـ ip عاد كنديرو access-list ومن موراها مباشرة كنديرو اسم الـ acl لي هو Standard وكنسميو هاد الـacl بشي اسم. انا هنا سميتو Darijatec.

من بعد دوزني لمود اخر. وتم غايخصني ندخل permit ولا deny على حسب اش بغيت انا. من بعد كنزيد لادريس ريزو لي باغي نطبق عليها داك acl وكندير الماسك جينيريك ديالها. فهاد الحالة ديالي انا خليت الريزو كامل ديال 192.168.1.0 يتكونيكطا. ومادرت حتى شي اوبيراسيون نبلوكي بها الطرافيك لاخر لي بقى. لأنه اوتوماتيك، ملي كندير فالاول permit كتبعها واحد الكوموند مخفية ما كتبانش لينا كتكون على شكل:

deny any

يعني كتبلوكي كاع الطرافيك لي بقى.

باش نآبليكيو هاد الكونفيكيراسيون ويخدم لينا acl عادي. غادي ندخلو للانطيرفاص لي بغينا نديرو فيها هادشي. ونكتبو الكوموند:

R1(config)#int f0/1

R1(config-if)# ip access-group Darijatec in

Extended:

نفس الشيء أيضا لي كيوقع مع Standard كنديرو الكوموند:

R1(config)# ip access-list Extended Darijatec

R1(config-ext-nacl)# permit tcp 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 eq 80

الشرح:

كيف شفتو فالاول درنا نفس الكوموند السابقة بدلنا غير نوع ال acl ولي هاد المرة Extended وعطيناه اسم حتى هو Darijatec.

من بعد عطيت permit ودرت البروتوكول لي انا باغي نخدم عليه ولي هو tcp فهاد الحالة. ودرت فالاول لادريس سورس والماسك جينيريك ديالها. وعاودت تبعتها لادريس ديستيناسيون والماسك جينيريك دياالها. ودرت البورت لي باغي نآكسيدي ليه. ولي هو 80 الخاص ب http.

وباش نآبليكي هاد الكونفيكيراسيون نفس الشيء لي درنا فال Standard:

R1(config)#int f0/1

R1(config-if)# ip access-group Darijatec in

هادشي لي عندنا فالـ ACL كتبقى واحد المسألة مادويناش عليها، ولي هي ملي تبغي تآبليكي شي كونفيكيراسيون فشي line فالمسألة سهلة، غادير هادشي:

R1(config)#line vty 0 4

R1(config-line)# ip access-class Darijatec in

الشرح:

بحال الابلكياسيون ديال لاخرين، غير هنا كتبدل group ب class وبالنسبة للاسم درت Darijatec في حالة الى كنتي خدام ب acl من نوع nommee فراه خاصك دير الاسم بحال هاد الحالة، أما لا كنتي خدام ب Numerote فراه خاصك دير رقم ال acl لي درتي.

نتمنى يكون الشرح واضح، ونكون توفقت فأنني نوصل الفكرة.

مصطلحات:

  • Deny: كتعني المنع.
  • Permet: كتعني السماح.
  • Any: كتعني كولشي كنديروها ملي كنبغيو نقولو لو خلي كولشي يدوز.
  • eq: هاذي كنكتبوها باش كنحددو رقم البورت لي بغينا نعطيوه لاكسي.

وطبعا مانساوش أهم شيء باش يتطبق لينا هاد ال ACL ولي هو الكوموند لي غا تسوفكاردي لينا داكشي وتطبق الامر.. ولي هي:

ip access-group

وكنزيدو قدامها يا إما in ولا out.

  • in: كنكتبوها الى كانو غايجيو لي دوني من برا لداك الروتور لي حنى كنكونفيكيريو فيه.
  • out: وهاذي العكس كنديروها الى كانو لي دوني غايمشيو من الروتور لي حنى كنكونفيكيرو فيه.

وطبعا الكونفيكيراسون كتكون فلانطيرفاس لي كيخرجو ويدخلو منها لي دوني.

تعديل المقال
الأقسام
محمد الشوداني
بواسطة : محمد الشوداني
شاب مغربي مهتم بالمعلوميات. هدفي هو نشر كل ما له علاقة بهذا المجال باللغة العامية المغربية. لتسهيل عملية الإستيعاب لدى كل مغربي مهتم بهذا المجال

مقالات قد تهمك




حجم الخط
+
16
-
تباعد السطور
+
2
-