17.Видео уроки Cisco Packet Tracer. Курс молодого бойца. DMZ

Рет қаралды 112,356

NetSkills. Видеоуроки. Cisco, zabbix, linux.

Күн бұрын

Пікірлер: 69

@Maks-yh1uw Жыл бұрын

Вот на этих уроках 16,17 действительно становится тяжело, особенно постоянно путаюсь с inside, outside. Но это, я думаю придет с опытом. Спасибо огромное за уроки. Даже спустя столько лет очень актуально

@arpeggio3204 3 ай бұрын

Прошел 12 уроков из курса, остальные проходил, сксчивая уже готовые схемы, дошел до VPN, половины не понял, решил повторить 7-8 уроков, сейчас знания составляют процентов 80. Спасибо большое за ваши уроки!

@eugene1993 Жыл бұрын

Спасибо большое за Видеоуроки, лучшие просто, прям вот песня, очень хорошие, всей группой на практике сидим, делаем это всё и ничерта не понимаем, лайкос, обеспечен, ауе братюнь😊

@Zenka_zxz Жыл бұрын

Согласен

@AlexPermyakov Ай бұрын

"ауе"? Ты из 2013 пишешь?

@John777354 9 жыл бұрын

Большое спасибо автору за уроки, надеюсь просмотреть еще раз и сделать сам. Удачи вам!

@sergeyzhukov3422 5 жыл бұрын

Правило на 27:46 безопаснее заменить на запрет ЛЮБОМУ адресу на этом интерфейсе ходить в локалку. Иначе, например, при добавлении еще одного сервера в DMZ зону либо компрометации сервера правило перестанет работать. Нужен запрет именно для всех адресов из DMZ - никто не мешает на скомпрометированном сервере поменять/добавить адрес из той же сети.

@Каталонскиймяч 5 жыл бұрын

А как он смог пропинговать в конце сервер если он намеренно запретил трафик в локалку? То есть ping же это ответная реакция, если с локалки пакет icmp смог попасть до сервера, то как у с сервера он попал обратно в локалку?

@yungyeeze 3 жыл бұрын

на 27:55 можно ли было, в целях безопасности, указать всю сеть ДМЗ?

@dv7045 5 жыл бұрын

Хорошо что в новых версиях добавили новый ASA с лицензией - "This platform has an ASA 5506 Security Plus license."

@blinchtozappc 4 жыл бұрын

Ничего не понял... Объясните плиз, почему нельзя вместо этого CBAC просто сделать аксес лист FROM-OUTSIDE следующего содержания: permit ip any host 210.210.0.2 permit ip any host 210.210.3.2 ???

@ЕвгенийВладимирович-ь1о 3 жыл бұрын

нужно этот урок переснять т.к. сейчас добавили 5506-Х и там лицензия - This platform has an ASA 5506 Security Plus license.

@yungyeeze 3 жыл бұрын

Полностью поддерживаю. Сам вчера только пытался 5506-х перенастроить под данное задание, но есть некоторые несостыковки. Так и не смог подключиться из локалки к SSH, возможно связано с тем, что отдельно имеется management port (и подключение может быть только через него??? догадки...). Также на 5506-х пришлось вычищать всю global_policy и class map, и заново переназначать. Львиную долю времени ушло на то, чтобы получить обратно из внешки, трафик инициированный внутренним хостом. Копался на просторах нета, нашёл список доступа, который "топорно" подошёл: access-list OUTSIDE-IN extended permit icmp any any echo-reply - считаю, данный acl небезопасен. Исходя из этого, возможно ли применить acl с более узким охватом или же возможно ли настроить CBAC инспекцию на модели ASA 5506-х как показано на примере роутера в данном видео??? Автор или кто сведущ в данном вопросе, просветите !!!

@russz4242 4 жыл бұрын

До 16 урока все шло нормально, в моем случае. Если раньше с полученными знаниями я мог делать все что угодно, то теперь могу только тупо повторить, не понимая откуда какая команда взялась. Дальше будет VPN,просто послушаю в третий раз..(частный случай))

@aldiyaraidarov7211 2 жыл бұрын

согласен, чет не понятно стало после того как, надо все настроить с начала самому

@nedimice 3 жыл бұрын

Спасибо, очень помог :)

@headdstrong983 3 жыл бұрын

У вас опечатка:fairewall, полагаю должно быть firewall.

@tvhateoriginal 5 жыл бұрын

Здравствуйте! Вопрос следующий - в варианте с DMZ на роутере, сервер из DMZ пингует внешний сервер, но web-трафик не проходит(через браузер внешний сервер не доступен), почему так происходит?

@Zak_Stivens 2 жыл бұрын

я кнч понимаю чтот ролик старый, но если тут есть люди которые отвечают на комментарии или хотябы отвечают на вопросы. То скажите пожалуйста, он говорит что используется схема из 16 урока. Но в 17 уроке там другая схема. Вопрос, откуда взялся свич, если в 16 видео ролике его не было, а в 17 он неожиданно появился.

@bra1nnn 2 жыл бұрын

Просто тупо туда его воткни и все) я тоже сначала не понял, а потом просто добавил и все)

@titov_ev 5 жыл бұрын

7:38 ты прописывал маршрут на роутыре провайдера. В реальности провайдеры будут прописывать у себя маршруты? Они это делают без проблем?

@Владимир-ч5ь8ы 5 жыл бұрын

Ну да! А если не прописать, то как вся остальная сеть будет знать где тебя искать? Автор же сказал что айпишники взяли "белые" у провайдера, он(провайдер) хочеш-нехочеш будет у себя путь к тебе прописывать(вернее к этим белым айпишникам)

@АнатолийВьюков-р4ч 4 жыл бұрын

Здравствуйте, а можно ли с такой настройкой с Пк0 и Пк1 скачивать файлы с сервера зоны ДМЗ?

@bra1nnn 2 жыл бұрын

У меня почему то сервер 3.2 не пингуется. В случае с маршрутизатором. Лабу скачал и ничего не поменялось.

@ГеннадийСеменов-н3м 8 жыл бұрын

добрый день, спасибо большое за ваши уроки, подскажите пожалуйста, такой вопрос, я настроил сеть в эмуляторе так, как указано в ролике, все работает как нужно, но если снести аксес листы для доступа к dmz на внешнем интерфейсе asa, то от dmz перестаёт пинговаться внешний сервер, разве так должно быть? ведь инспектирование на asa для icmp настроено на всех интерфейсах. Спасибо

@LightningTrooper 9 жыл бұрын

Приветствую, спасибо за видео, очень помогают! Вопрос общего характера - какое средство мониторинга, из официальных решений циско через web, посоветуете?

@netskills 9 жыл бұрын

Спасибо за отзыв! Не совсем понял суть вопроса. Можете уточнить?

@romansspats4812 2 жыл бұрын

Many Thanks !!!

@dmitriygrishin1008 3 жыл бұрын

Друзья добрый день! Подскажите кто нибудь выполнял данную лабораторную с роутером на CPT 7.2.1.0218. Такое чувство что отсутствует команда ip inspect. Кто сталкивался с такой проблемой подскажите пожалуйста решение

@Verbig 3 жыл бұрын

делал только что на 7.2.1.0218 все получилось, как на видео

@dmitriygrishin1008 3 жыл бұрын

@@Verbig странно что то у меня вообще не добивается это команда

@dmitriygrishin1008 3 жыл бұрын

@@Verbig делал все прям по видео в режиме глобальной конфигурации у меня отсутствует эта команда

@hooliganDm 9 жыл бұрын

День добрый. У меня вопрос, ответы на который я не могу найти второй день) По поводу CBAC. Вариант 1: Коммутатор Л3 втопологии звезда. На нем созданы ВЛАНЫ для локальной сети. В настройках интерфейсов нет параметра ip inspect. Вариант 2: Роутер на палочке. Соединен с коммутатором Л3. На роутере созданы сабинтерфейсы для ВЛАНОВ. В настройках интерфейсах ip inspect присутствует, однако в настройках САБ_интерфейса, ip inspect отсутствует. Также, параметр ip inspect даже на физических интерфейсах отсутствует в роутерах 2901 и старше. Таким образом, не удалось включить инспектирование. И. таким образом, запретив доступ из влана веб-серверов, пропал также доступ к этим серверам из локалки. Подскажите, отсутствие настроек связано с ограничениями packet tracer, это данный момент втретится и на реальном оборудовании? И, в данном случае, как решить задачу создания DMZ (роутер на палочке)?

@netskills 9 жыл бұрын

+Dmitry hooligan_ На L3 коммутаторах в принципе отсутствует CBAC. Так же для роутеров в CPT есть серьезные ограничения. Да и вообще, CBAC это очень старая технология, здесь она приводится лишь для понимания принципа инспектирования трафика. На реальных роутерах лучше использовать ZoneBase Firewall. Настраивать его можно как для физических, так и для логических интерфейсов.

@ttsrg 7 жыл бұрын

prntscr.com/elydqi wildcard mask 0.0.0.0255 оборудование нормально воспринимает?

@itlife8792 6 жыл бұрын

в эмуляторе, как видите работает.

@MasterShaytan 8 жыл бұрын

а почему во второй части урока (с роутером) настройка проходила не на sub-интерфейсе?...

@Verte.I 4 жыл бұрын

Потому что в примере был только один VLAN и одна подсеть. Сабинтерфейсы используются когда несколько VLAN.

@MasterShaytan 8 жыл бұрын

ок... сам разобрался... оказывается в маршрутизаторах на sub-интерфейсах нет вообще команды ip inspect (ну это только в "cisco packet tracer" в "GNS" эта команда есть)... у меня таки получилось всё настроить... только установил испектирование трафика не на входе на котором висят sub-интерфейсы а на выходе в интернет, и на выходе в DMZ-зону... всё работает... из DMZ-зоны и из интернета доступа во внутреннюю сеть нет... а у внутренней сети есть доступ и в интернет и на сервер в DMZ-зоне... но опять таки вопрос... (возможно глупый) опасен ли такой вариант и не даёт ли он дополнительную нагрузку на маршрутизатор?...

@daniplusone3045 3 жыл бұрын

С такой же проблемой спустя 4 года столкнулся, реально непонятно что делать, если тебе на саб интерфейсы inspect настроить нужно..

@helgss 8 жыл бұрын

Можно ли в Cisco Packet Tracer настроить PAT на ASA? В частности допустим надо пробросить порт до внутреннего web-сервера

@netskills 8 жыл бұрын

+Олег Шулепов можно.

@РоманСамохин-щ3о 9 жыл бұрын

здравствуйте, подскажите я правильно понял. В 1ом случае не смотря на security-leve, access-list приоритетнее. А во втором случае, не смотря на запрет access-list инспектирование трафика проходит в обход access-list ?

@netskills 9 жыл бұрын

Аксес лист всегда главнее. А секьюрити левел и инспектирование это части одного целого. Только тот трафик, который инспектируется, будет ходить по правилам секьюрити левела. Если на интерфейс добавляется аксес лист, то секьюрити левел больше не работает на этом интерфейсе.

@РоманСамохин-щ3о 9 жыл бұрын

NetSkills. Видеоуроки. Cisco, zabbix, linux. я к тому что на 2рой схеме, на роутере, возможности выставить секьюрити левел нет. Если настроить инспекцию трафика, то этот трафик проходит через запрещающий аксес лист

@az91989 9 жыл бұрын

Обязательно ли присвоит ip DMZ-серверу с другого диапазона? то есть можно была бы присвоит с того диапазона которое мы присвоили AS-е? 210.210.0.

@netskills 9 жыл бұрын

А как вы это сделаете? Нам же надо DMZ спрятать за межсетевым экраном, т.е. это другой сегмент. А другой сегмент это другая сеть.

@az91989 9 жыл бұрын

NetSkills. Видеоуроки. Cisco, zabbix, linux. Понятно, спасибо за инфо)

@yuriyan500 9 жыл бұрын

Доброго дня! Хорошие уроки, спасибо вам за них. Скажите, будет ли продолжение? Интересует, например, тема организации VPN в ASA.

@netskills 9 жыл бұрын

Приветствую. Да, курс будет опубликован до конца. Буквально на днях выложу урок по VPN.

@ИльяКурабаев 9 жыл бұрын

NetSkills. Видеоуроки. Cisco, zabbix, linux.а вот команду ip inspect можно привязать к определенным Вилан? если да как это устроить? просто я пытался не смог?

@netskills 9 жыл бұрын

Илья Курабаев на роутерах вся работа с вланами сводится к работе с сабинтерфейсами. А сабинтерфейсы почти ничем не отличаются от обычных. Прописывайте ip inspect на сабинтерфейсе.

@ИльяКурабаев 9 жыл бұрын

а что делать если в cisco packet tracer сабинтерфейсы не поддерживает команду ip inspect, на jns 3 переходить?

@netskills 9 жыл бұрын

Илья Курабаев да. Но если переходить на GNS3, то лучше уж использовать zone-based firewall. CBAC очень старая технология.

@akiii34 10 жыл бұрын

подскажите пожалуйста продолжение курса планируется? очень полезный материал

@netskills 10 жыл бұрын

Да, конечно. Курс будет опубликован полностью. Однако с датами не могу точно сказать. Это всего лишь хобби и занимаюсь этим в свободное от работы время.

@ttsrg 8 жыл бұрын

firewall огонь- стена , маленькая очепятка

@goodguy5060 8 жыл бұрын

Как и у вас в плане оЧепЯтки))

@Conf1dent1alOne 3 жыл бұрын

Мне кажется, что в уроке про Ацесс листы человек сильно ввел в заблуждение сказав, что направление трафика бывает от роутера и на роутер.. Тут уже проглядывается понятие "внешний сегмент сети" и "внутренний сегмент сети". В итоге получается диссонанс - то ли мы считаем внешним все то, что идет на роутер, то ли считаем внешним то, что идет из интернета на роутер.. ваил кард маска "0.0.0.0255", еще никто так мой мозг не убивал в хлам..

@АлексейИванов-ч3ю8р 2 ай бұрын

Кто-нибудь может подсказать, почему роутер и сервер соединяются перекрёсным проводом? Ведь он нужен для соединения устройств одного уровня модели osi. Очевидно сервер и маршрутизатор это устройства разных уровней...