access-list tac dong port 20 hay 21 khi ... eq ftp?

[velvetyrose]

Nếu mình có 1 access-list :
access-list 101 deny tcp 192.128.16.0 0.0.0.255 192.128.17.0 0.0.0.255 eq ftp
thì port 20 hay 21 sẽ chịu tác động của câu lệnh này ?
Và mình cũng thắc mắc tại sao với ftp ta lại cần đến 2 port nhỉ ?
Có phải do yêu cầu và cả nhu cầu của loại giao thức truyền file không?
Thanks in advance !

[1'hpSky]

velvetyrose
FPT có hai loại: là FPT(21)và FPT-DATA(20)
- Cổng 20 dùng cho việc truyền dữ liệu
- Còn 21 dùng để truyền commands

Gửi bạn file này để bạn nhớ các ports nhé

Thân

[phoenix]

tại sao command này lại bị báo error ở "eq" nhỉ?
access-list 101 deny icmp 192.128.16.0 0.0.0.255 192.128.17.0 0.0.0.255 eq ping
có phải là mình không được để eq ping mà phải để eq <port ping> ko? mà port của ping là bao nhiêu nhỉ ??? :roll: :roll: :roll:

[1'hpSky]

Chao bạn!
Đối với ICMP thì câu lệnh như sau

access-list 101 permit icmp any any administratively-prohibited
access-list 101 permit icmp any any echo-reply
access-list 101 permit icmp any any echo
access-list 101 permit icmp any any packet-too-big
access-list 101 permit icmp any any time-exceeded
access-list 101 permit icmp any any traceroute
access-list 101 permit icmp any any unreachable
access-list 101 deny icmp any any

Để ACL tác động vào lệnh PING bạn dùng ECHO hoặc ECHO-REPLY

Bạn có thể xem RFC792 về ICMP
http://www.faqs.org/rfcs/rfc792.html

Thân

[themask]

hi,

1'hpSky giải thích thêm mấy phần trên cho mọi người cùng xem với.

access-list 101 permit icmp any any administratively-prohibited
access-list 101 permit icmp any any packet-too-big
access-list 101 permit icmp any any time-exceeded
access-list 101 permit icmp any any traceroute
access-list 101 permit icmp any any unreachable


là gì?

[1'hpSky]

Chào bạn!
ICMP=internet control message protocol. Các message thuộc loại nào là do trường Type quyết định.

Bạn Themask muốn mình giải thích các lệnh này:

access-list 101 permit icmp any any administratively-prohibited
access-list 101 permit icmp any any packet-too-big
access-list 101 permit icmp any any time-exceeded
access-list 101 permit icmp any any traceroute
access-list 101 permit icmp any any unreachable

------------------------------------------------------------------
administratively-prohibited, packet-too-big, time-exceeded, traceroute, unreachable đều là những loại gói tin ICMP được dùng khi có một lỗi nào đó cần thông báo. ACL 101 ở trên sẽ chặn tất cả các gói tin đó. Bạn đọc thêm thông tin ở dưói nhé:

+ A Packet Too Big message is sent in response to a packet that it cannot forward because the packet is larger than the Maximum Transmission Unit (MTU) of the outgoing link.

+ administrative-prohibited là: Khi packet không tới đích được do bị chặn do một ACL nào đó trên mạng, thông báo này sẽ được gửi lại nơi nó xuất phát.

+Time-exceeded: For more details refer to RFC 2463
+Traceroute: Gói ICMP sẽ được gửi đi khi dùng lệnh tracert
+Unreachable: Cái này chắc ai cũng biết

Thân

[sinhvienngheo]

chỉ bổ sung cho một bài viết tuyệt vời của 1'hpSky:

Nếu Rose chặn port 20 và cho phép port 21, Rose có thể authenticate thành công nhưng không thể thực hiện một số lệnh trong FTP server. ví dụ lệnh ls.

cám ơn,

[1'hpSky]

Hoàn toàn chính xác Guru ạ. Thanks nhiều

[ducdh]

Nhờ 1'hpSky & Guru chỉ giúp tôi Công dụng của port 135 & port 4444 khi chúng được apply vào access-list sau :
access-list 105 deny tcp any any eq 135
access-list 105 deny tcp any any eq 4444
access-list permit any any
Cám ơn rất nhiều

[1'hpSky]

Chào anh ducdh,

Về ACL hình như dòng cuối anh ghi sai!!!
Còn về port anh xem qua RFC1700 nhé: Địa chỉ là: http://www.ietf.org/rfc/rfc1700.txt
hoặc http://www.freesoft.org/CIE/RFC/1700/4.htm

Em xin trích ra một số thông tin thế này:

loc-srv 135/tcp Location Service
loc-srv 135/udp Location Service

krb524 4444/tcp KRB524
krb524 4444/udp KRB524
nv-video 4444/tcp NV Video default
nv-video 4444/udp NV Video default

Chào anh ạ!