| کانال امنیت و شبکه |
🔶 STP (Spanning Tree Protocol) 🔻 پروتکل STP یک پروتکل فعال در لایه 2 میباشد که برای ایجاد یک درخت پوشش (Spanning Tree) برای توپولوژی شبکههای LAN استفاده میشود. هدف اصلی STP از بین بردن loop بین دستگاهها در شبکه است. loop میتوانند باعث بروز مشکلاتی مانند…
🔶 How to work STP ?
🔻 در پست قبلی راجعبه STP صحبت کردیم و دلیل نیاز STP در شبکه را بررسی کردیم؛ اما سوال بزرگی که مطرح است، STP به چه شکل کار می کند؟
🔻 تصویر بالا را در نظر بگیرید سه سوئیچ با استفاده از کابل LAN به هم متصل شدند، سوالی که اینجا مطرح است "از دید STP کدام پورت باید در وضعیت بلاک قرار بگیرد؟" مشکلی که در این سوال وجود دارد، هر پورتی در شبکه بالا می تواند در وضعیت بلاک قرار بگیرد و "معیار" خاصی برای تغییر وضعیت پورت وجود ندارد پس سوال را اصلاح می کنیم، "کدام پورت با توجه به سوئیچ A باید در وضعیت بلاک قرار بگیرد؟" در پاسخ به این سوال ارتباط بین سوئیچ B و C را باید بلاک کرد چون معیار سوئیچ A است که در دنیای STP به این سوئیچ Root Bridge گفته میشود.
پروتکل STP با انجام سه مرحله وضعیت پورتها را مشخص می کند.
👇🏼👇🏼👇🏼
🔖 #Network, #شبکه
👤 ȺʍìɾⱮօհąʍʍąժ
💎 Channel: @DevelopixNetwork
🔻 در پست قبلی راجعبه STP صحبت کردیم و دلیل نیاز STP در شبکه را بررسی کردیم؛ اما سوال بزرگی که مطرح است، STP به چه شکل کار می کند؟
🔻 تصویر بالا را در نظر بگیرید سه سوئیچ با استفاده از کابل LAN به هم متصل شدند، سوالی که اینجا مطرح است "از دید STP کدام پورت باید در وضعیت بلاک قرار بگیرد؟" مشکلی که در این سوال وجود دارد، هر پورتی در شبکه بالا می تواند در وضعیت بلاک قرار بگیرد و "معیار" خاصی برای تغییر وضعیت پورت وجود ندارد پس سوال را اصلاح می کنیم، "کدام پورت با توجه به سوئیچ A باید در وضعیت بلاک قرار بگیرد؟" در پاسخ به این سوال ارتباط بین سوئیچ B و C را باید بلاک کرد چون معیار سوئیچ A است که در دنیای STP به این سوئیچ Root Bridge گفته میشود.
پروتکل STP با انجام سه مرحله وضعیت پورتها را مشخص می کند.
👇🏼👇🏼👇🏼
🔖 #Network, #شبکه
👤 ȺʍìɾⱮօհąʍʍąժ
💎 Channel: @DevelopixNetwork
👍6
🔶 1.Root Bridge Election
اولین گام انتخاب Root Bridge در شبکه است که انتخاب روت بریج بر اساس Bridge-ID است، که کوچکترین بریج آیدی به عنوان روت بریج انتخاب می شود.
در پروتکل STP هر Switch داری یک شناسه خاص تحت عنوان Bridge-ID است ساختار این شناسه به این شکل است :
بخش اول تحت عنوان Priority به طور دیفالت 32768 می باشد که این مقدار قابل تغییر است اما مقداری که قرار میدید باید مضرب 4096 باشد و حداکثر مقداری که می توانید قرار دهید 65535 است و بخش دوم Base switch mac address است.
و در ورژنهای جدید این پروتکل، شماره VLAN هم در کنار سایر آیتمهایِ تولیدِ Bridge-ID بکار برده میشود.
برگردیم به تصویر، در بین سه سوئیچ، سوئیچ A به عنوان روت بریج شبکه انتخاب میشود چون بریج آیدی سوئیچ نسبت به سایر سوئیچها کوچکتر است.
🔶 2.Root Port Election
در این مرحله یک پورت در هر سوئیچ (به غیر از روت بریج شبکه) به عنوان روت پورت انتخاب می شود و سایر پورت ها در وضعیت بلاک قرار می گیرد که روت پورت در چهار محله انتخاب می شود، در هر مرحله اگر یک پورت کاندید شود دیگر وارد مرحله بعد نمیشود و همان پورت در وضعیت روت بریج قرار میگیرد.
▫️ مرحله اول پورتی (پورتهایی) که به طور مستقیم و یا غیر مستقیم روت بریج شبکه را میبیند. برای مثال در تصویر بالا سوئیچ B با استفاده از پورت Gi0/1 (مستقیم) و Gi0/3 (غیر مستقیم) روت بریج شبکه را می بیند و در نتیجه برای مرحله بعد کاندید می شود.
▫️ مرحله دوم پورتی (پورت هایی) انتخاب می شود که مجموعه Cost آن تا روت بریج کمتر باشد. هر پورت بر اساس سرعت و نوع متد Cost مشخص شده، داری Cost مشخصی می باشد که این مقادیر قابل تغییر است. در تصویر بالا فرض بر این است Cost هر پورت 4 است پس در نتیجه Cost پورت Gi0/1 تا روت بریج 4 و Cost پورت Gi0/3 تا روت بریج 8 است و در نتیجه پورت Gi0/1 به عنوان روت پورت انتخاب میشود.
▫️ مرحله سوم اگر مرحله دوم ناموفق بود در این مرحله پورتی (پورت هایی) انتخاب می شود که Bridge-ID در آن طرف سویچ کوچکتر باشد. برای مثال در تصویر بالا فرض کنید یک سوئیچ به عنوان سوئیچ E در شبکه اضافه شده و پورت Gi0/1 به سویچ B و پورت Gi0/2 به سویچ C متصل است و هر دو پورت مجموعه Cost تا روت بریج 8 است و بر اساس قانون مرحله سوم پورت Gi0/1 به عنوان روت بریج شبکه انتخاب می شود زیر Bridge-ID سویچ B نسبت به C کوچکتر است.
▫️ مرحله چهارم در این مرحله پورتی به عنوان روت پورت انتخاب می شود که Port-ID در آن طرف سویچ کوچکتر باشد. برای مثال فرض کنید سوئیچ F با پورت Gi0/1 (سوئیچ F) به پورت Gi0/5 (سوئیچ B) و Gi0/2 (سوئیچ F) به پورت Gi0/4 (سوئیچ B) متصل شده است که بر اساس قوانین مرحله چهارم پورت Gi0/2 به عنوان روت بریج انتخاب میشود زیرا ملاک، Port-ID سوئیچ B است.
🔶 3.Designated Port Election
مرحله آخر انتخاب Designated پورت است در پروتکل STP پورت ها دو وضعیت دارند
Designated <-----> Block
Designated <-----> Root
🔺 تمامی پورت هایی که به عنوان روت پورت انتخاب شدن در آن طرف پورت در وضعیت Designated قرار می گیرند و همچنین تمامی پورت های روت بریج در وضعیت Designated قرار می گیرد و سایر پورت هایی که به عنوان روت پورت در مرحله دو انتخاب نشدن در وضعیت بلاک قرار می گیرند و در آن طرف سویچ در وضعیت Designated البته اینکه کدام طرف بلاک و کدام طرف در وضعیت Designated قرار بگیرد بر اساس Cost پورت تا روت بریج و یا کوچکترین Bridge-ID انتخاب می شود.
🔺 پورت هایی که در وضعیت Designated قرار می گیرند روت بریج شبکه را advertise می کنند و همچنین پورت هایی که در وضعیت Root قرار می گیرند کوتاهترین مسیر تا روت بریج شبکه می باشند.
🔖 #Network, #شبکه
👤 ȺʍìɾⱮօհąʍʍąժ
💎 Channel: @DevelopixNetwork
اولین گام انتخاب Root Bridge در شبکه است که انتخاب روت بریج بر اساس Bridge-ID است، که کوچکترین بریج آیدی به عنوان روت بریج انتخاب می شود.
در پروتکل STP هر Switch داری یک شناسه خاص تحت عنوان Bridge-ID است ساختار این شناسه به این شکل است :
Priority.VLAN number.MAC
بخش اول تحت عنوان Priority به طور دیفالت 32768 می باشد که این مقدار قابل تغییر است اما مقداری که قرار میدید باید مضرب 4096 باشد و حداکثر مقداری که می توانید قرار دهید 65535 است و بخش دوم Base switch mac address است.
و در ورژنهای جدید این پروتکل، شماره VLAN هم در کنار سایر آیتمهایِ تولیدِ Bridge-ID بکار برده میشود.
برگردیم به تصویر، در بین سه سوئیچ، سوئیچ A به عنوان روت بریج شبکه انتخاب میشود چون بریج آیدی سوئیچ نسبت به سایر سوئیچها کوچکتر است.
🔶 2.Root Port Election
در این مرحله یک پورت در هر سوئیچ (به غیر از روت بریج شبکه) به عنوان روت پورت انتخاب می شود و سایر پورت ها در وضعیت بلاک قرار می گیرد که روت پورت در چهار محله انتخاب می شود، در هر مرحله اگر یک پورت کاندید شود دیگر وارد مرحله بعد نمیشود و همان پورت در وضعیت روت بریج قرار میگیرد.
▫️ مرحله اول پورتی (پورتهایی) که به طور مستقیم و یا غیر مستقیم روت بریج شبکه را میبیند. برای مثال در تصویر بالا سوئیچ B با استفاده از پورت Gi0/1 (مستقیم) و Gi0/3 (غیر مستقیم) روت بریج شبکه را می بیند و در نتیجه برای مرحله بعد کاندید می شود.
▫️ مرحله دوم پورتی (پورت هایی) انتخاب می شود که مجموعه Cost آن تا روت بریج کمتر باشد. هر پورت بر اساس سرعت و نوع متد Cost مشخص شده، داری Cost مشخصی می باشد که این مقادیر قابل تغییر است. در تصویر بالا فرض بر این است Cost هر پورت 4 است پس در نتیجه Cost پورت Gi0/1 تا روت بریج 4 و Cost پورت Gi0/3 تا روت بریج 8 است و در نتیجه پورت Gi0/1 به عنوان روت پورت انتخاب میشود.
▫️ مرحله سوم اگر مرحله دوم ناموفق بود در این مرحله پورتی (پورت هایی) انتخاب می شود که Bridge-ID در آن طرف سویچ کوچکتر باشد. برای مثال در تصویر بالا فرض کنید یک سوئیچ به عنوان سوئیچ E در شبکه اضافه شده و پورت Gi0/1 به سویچ B و پورت Gi0/2 به سویچ C متصل است و هر دو پورت مجموعه Cost تا روت بریج 8 است و بر اساس قانون مرحله سوم پورت Gi0/1 به عنوان روت بریج شبکه انتخاب می شود زیر Bridge-ID سویچ B نسبت به C کوچکتر است.
▫️ مرحله چهارم در این مرحله پورتی به عنوان روت پورت انتخاب می شود که Port-ID در آن طرف سویچ کوچکتر باشد. برای مثال فرض کنید سوئیچ F با پورت Gi0/1 (سوئیچ F) به پورت Gi0/5 (سوئیچ B) و Gi0/2 (سوئیچ F) به پورت Gi0/4 (سوئیچ B) متصل شده است که بر اساس قوانین مرحله چهارم پورت Gi0/2 به عنوان روت بریج انتخاب میشود زیرا ملاک، Port-ID سوئیچ B است.
🔶 3.Designated Port Election
مرحله آخر انتخاب Designated پورت است در پروتکل STP پورت ها دو وضعیت دارند
Designated <-----> Block
Designated <-----> Root
🔺 تمامی پورت هایی که به عنوان روت پورت انتخاب شدن در آن طرف پورت در وضعیت Designated قرار می گیرند و همچنین تمامی پورت های روت بریج در وضعیت Designated قرار می گیرد و سایر پورت هایی که به عنوان روت پورت در مرحله دو انتخاب نشدن در وضعیت بلاک قرار می گیرند و در آن طرف سویچ در وضعیت Designated البته اینکه کدام طرف بلاک و کدام طرف در وضعیت Designated قرار بگیرد بر اساس Cost پورت تا روت بریج و یا کوچکترین Bridge-ID انتخاب می شود.
🔺 پورت هایی که در وضعیت Designated قرار می گیرند روت بریج شبکه را advertise می کنند و همچنین پورت هایی که در وضعیت Root قرار می گیرند کوتاهترین مسیر تا روت بریج شبکه می باشند.
🔖 #Network, #شبکه
👤 ȺʍìɾⱮօհąʍʍąժ
💎 Channel: @DevelopixNetwork
🔥6👍3
اگه مال خودم بود خب قطعا خودم میفرستم به جایی که میخواد بره، چون من شبکهی خودم رو میشناسم!
قطعا میایم از طریق IXP ارسالش میکنیم به شرکت مورد نظر.
در تعریف IXP اگه بخوایم توضیحاتی بدیم باید بگیم لینک ارتباطی بین پروایدرا میشه IXP. که البته طبق قوانین زیر ساخت ایران، دوتا پروایدر نمیتونن مستقیما به هم وصل شن و باید با پا درمیونی IXP کشوری با هم ارتباط بگیرن.
در واقع لینکی که زیرساخت میده به بین الملل برای هر گیگش مبلغ بالایی دریافت میکنه بنابر این ما سعی میکنیم تا جایی که درخواست داخلی هست ارجاع ندیم به اینترنت که بخوایم هم پول بدیم و هم راه بستمونو دور کنیم 😅
یعنی چی؟
یعنی میگه من دیگه از اینجا به بعد رو بلد نیستم، من فقط روتهای داخل ایران رو بلدم. پس هر جا که بلد نیستم میدم به تو.
در واقع زیر ساخت داره به ناحیه DFZ میگه من چرا باید ۸۰۰-۹۰۰ هزار خط روت بلد باشم تا وقتی شماها بلدید؟
حالا اصلا این ناحیه چیه؟
یه جاییه که توش دیفالت روت وجود نداره. یعنی چی؟ یعنی همه همه جارو بلدن. اصطلاحا به شرکتهای این ناحیه میگن Tier1. دیگه انقدر غول شدن و Scale بزرگی دارن همه جارو بلدن و هر کی بلد نباشه میاد پیششون.
فرض میکنیم ما یه ارائه دهندهایم و یه بستهای میاد سمتمون. ما برای یکسری کارای مدیریتی نیاز داریم که این بسته هارو تفکیک کنیم
مثلا بدونیم این بسته از سمت کیه؟
از سمت یه مشترک سادست، یا از سمت یه شرکت ارائه دهندهی دیگه یا ..؟!
در واقع نتیجه میگیریم باید ما و دوستامون توی ایران و جهان بیایم توافق کنیم و بگیم یه سری رنگ داریم. مثلا اگه رنگ قرمز دیدی بدون از سمت یه ISP ام و اگه رنگ آبی دیدی یعنی من فلان ویژگی رو دارم.
حالا این رنگ بطور واقعی رنگ نیستش و در واقع یک تگ عددی هستش.
به این تگ ها Community گفته میشه.
فرض کنید شما و مخابرات و ایرانسل سهتایی دست همو گرفتید و به هم وصلید. مخابرات میخواد با ایرانسل ارتباط بگیره ولی تو چون وسطشونی میاد زرنگ بازی درمیاره و از روی تو رد میشه. و میگه من چرا شبکهی خودم یا اصطلاحا Autonomous System خودم رو درگیر کنم! حالا اینجور وقتا باید جلوش رو گرفت و گفت آقا من نمیخوام خودمو سنگین کنم و بار یه شرکت دیگه رو هم به دوش بکشم. پس هر وقت از کسی مسیری یاد گرفتم به کس دیگه یادش نمیدم که بیاد منو Transit کنه و اون وسط بزاره که باراشو من به دوش بکشم! پس میام به بسته های شرکتهای دیگه تگ با عدد مورد نظر رو میزنم و میگم حواست باشه و فلان محدودیتهارو روش اعمال کنیها!
🔖 #Network, #شبکه
👤 Drwcsi
💎 Channel: @DevelopixNetwork
Please open Telegram to view this post
VIEW IN TELEGRAM
👍18👎1
Anonymous Quiz
15%
استفاده از پروتکل STP.
32%
در iBGP اگر AS Path حاوی شماره AS خودمان بود نمیپذیریم و در eBGP از TTL استفاده میکنیم.
39%
در iBGP یاد ندادن روتهای یاد گرفته از همسایهای، به سایر همسایهها و در eBGP استفاده از AS Path.
14%
در هر دو صرفا split-horizon از لوپ جلوگیری میکند.
🔥6👍1
Forwarded from Developix Support
وبینار رایگان همه چیز درباره F5 – شاهکلید امنیت و مدیریت ترافیک شبکه🌟
در دنیایی که هر لحظه با تهدیدهای سایبری جدیدی روبهروییم، داشتن یک راهکار قدرتمند برای مدیریت ترافیک و امنیت شبکه، یک نیاز حیاتی محسوب میشه.
در این زمینه F5 بهعنوان برترین راهکار امنیتی و بهینهسازی شبکه، یه سپر دفاعی قوی برات میسازه و عملکرد شبکهت رو چندین برابر بهینه میکنه!
چرا این وبینار رو نباید از دست بدی؟🔥
برای جواب این سوالات، این وبینار تمام اون چیزیه بهش نیاز داری!
مدرس: استاد مسعود کیمیایی
✅رایگان و آنلاین✅
🔗از اینجا ثبتنام کن
مشاوره تخصصی و رایگان دریافت کن:
👩💻@CANDOm_jani
👩💻@CANDOF_Ebrahimi
👩💻@CANDOSH_Hamanian
از طریق کانال زیر میتونی از جدیدترین دورههامون در لحظه باخبر بشی👇
@cando_ad
🌻 آموزشگاه مهندسی کندو برترین آموزشگاه IT ایران | We CanDo IT💪
@cando_ac
در دنیایی که هر لحظه با تهدیدهای سایبری جدیدی روبهروییم، داشتن یک راهکار قدرتمند برای مدیریت ترافیک و امنیت شبکه، یک نیاز حیاتی محسوب میشه.
در این زمینه F5 بهعنوان برترین راهکار امنیتی و بهینهسازی شبکه، یه سپر دفاعی قوی برات میسازه و عملکرد شبکهت رو چندین برابر بهینه میکنه!
چرا این وبینار رو نباید از دست بدی؟🔥
🔹 میخوای بفهمی چطور F5 میتونه شبکهت رو نفوذناپذیر کنه؟
🔹 دنبال سریعترین روش برای بهینهسازی زیرساختهای IT هستی؟
🔹میخوای بدونی چطور جلوی حملات سایبری مدرن بایستی؟
🔹 دنبال راهکاری هستی که بهرهوری سازمانت رو چند برابر کنه؟
برای جواب این سوالات، این وبینار تمام اون چیزیه بهش نیاز داری!
مدرس: استاد مسعود کیمیایی
✅رایگان و آنلاین✅
🔗از اینجا ثبتنام کن
مشاوره تخصصی و رایگان دریافت کن:
👩💻@CANDOm_jani
👩💻@CANDOF_Ebrahimi
👩💻@CANDOSH_Hamanian
از طریق کانال زیر میتونی از جدیدترین دورههامون در لحظه باخبر بشی👇
@cando_ad
🌻 آموزشگاه مهندسی کندو برترین آموزشگاه IT ایران | We CanDo IT💪
@cando_ac
👍2❤1👎1🔥1
🤩 چالش هفته اول1️⃣
🟢با سلام به شما همراهان گرامی در راستای اطلاعیه قبلی، از این به بعد با هدف به چالش کشیدن دانش فنی، سناریوهایی در سطوح مختلف در حیطه سیسکو و در محیط سیسکو پکت تریسر، طراحی شده و در کانال قرار میگیرد که از شما دعوت میکنیم که در عیب یابی و پیکربندی صحیح سناریوی مطرح شده ما را همراهی کنید... 😎
🔴لطفا فایل پاسخ را ظرف نهایتا ۵ روز به همراه توضیحات در حالت اسپویلر در کامنتهای پستِ چالش، ارسال نمائید.
🟢نکته؛ برای دسترسی به فایل نیاز به نصب ورژن آخر پکت تریسر میباشد.
🔖 #Network, #شبکه
👤 8
💎 Channel: @DevelopixNetwork
🟢با سلام به شما همراهان گرامی در راستای اطلاعیه قبلی، از این به بعد با هدف به چالش کشیدن دانش فنی، سناریوهایی در سطوح مختلف در حیطه سیسکو و در محیط سیسکو پکت تریسر، طراحی شده و در کانال قرار میگیرد که از شما دعوت میکنیم که در عیب یابی و پیکربندی صحیح سناریوی مطرح شده ما را همراهی کنید... 😎
🔴لطفا فایل پاسخ را ظرف نهایتا ۵ روز به همراه توضیحات در حالت اسپویلر در کامنتهای پستِ چالش، ارسال نمائید.
🟢نکته؛ برای دسترسی به فایل نیاز به نصب ورژن آخر پکت تریسر میباشد.
🔖 #Network, #شبکه
👤 8
💎 Channel: @DevelopixNetwork
👍2
LAB(1).pkt
72.5 KB
#چالش_شماره_یک
🔻Why PC0 can't open website?!
پروژه را طوری Troubleshooting نمائید که PC0 بتواند سایت باز نماید😅
🔖 #Network, #شبکه
👤 8
💎 Channel: @DevelopixNetwork
🔻Why PC0 can't open website?!
پروژه را طوری Troubleshooting نمائید که PC0 بتواند سایت باز نماید😅
🔖 #Network, #شبکه
👤 8
💎 Channel: @DevelopixNetwork
👍4
LAB(1).pkt
77.2 KB
#جواب_چالش_شماره_یک
۱- بر روی PC0 ادرس DNS اشتباه ست شده بود
۲- در سوییچ ۰ پورت سکیوریتی به اشتباه کانفیگ شده بود
۳-در سرویس DNS رکورد اشتباه برای وب سرور ست شده بود
🔖 #Network, #شبکه
👤 8
💎 Channel: @DevelopixNetwork
۱- بر روی PC0 ادرس DNS اشتباه ست شده بود
۲- در سوییچ ۰ پورت سکیوریتی به اشتباه کانفیگ شده بود
۳-در سرویس DNS رکورد اشتباه برای وب سرور ست شده بود
🔖 #Network, #شبکه
👤 8
💎 Channel: @DevelopixNetwork
👍8🔥1
LAB(2).pkt
79.2 KB
#چالش_شماره_دو
🔻Why can't systems obtain an IP from the DHCP service?
🔖 #Network, #شبکه
👤 8
💎 Channel: @DevelopixNetwork
🔻Why can't systems obtain an IP from the DHCP service?
🔖 #Network, #شبکه
👤 8
💎 Channel: @DevelopixNetwork
👍2
LAB(2).pkt
79.6 KB
#جواب_چالش_شماره_دو
1-در سوییچ لایه 3، ویلنهای 10، 20 و 30 ساخته نشدهاند.
2 -سرور DHCP آنها در یک شبکه دیگر است و برای اینکه بتواند به VLANهای 10، 20 و 30 سرویس بدهد، باید در محیط اینترفیس VLAN موردنظر از دستور ip helper-address SERVER IP استفاده شود.
تمامی این تنظیمات برای سوییچ لایه 3، سوییچ شماره 0 هستش.
🔖 #Network, #شبکه
👤 8
💎 Channel: @DevelopixNetwork
1-در سوییچ لایه 3، ویلنهای 10، 20 و 30 ساخته نشدهاند.
2 -سرور DHCP آنها در یک شبکه دیگر است و برای اینکه بتواند به VLANهای 10، 20 و 30 سرویس بدهد، باید در محیط اینترفیس VLAN موردنظر از دستور ip helper-address SERVER IP استفاده شود.
تمامی این تنظیمات برای سوییچ لایه 3، سوییچ شماره 0 هستش.
🔖 #Network, #شبکه
👤 8
💎 Channel: @DevelopixNetwork
👍8
LAB(3).pkt
82 KB
#چالش_شماره_سه
🔻Why can't systems obtain an IP from the DHCP service?
راهنمایی:کلا نیازمند یک خط کامند هستید
🔖 #Network, #شبکه
👤 8
💎 Channel: @DevelopixNetwork
🔻Why can't systems obtain an IP from the DHCP service?
راهنمایی:
🔖 #Network, #شبکه
👤 8
💎 Channel: @DevelopixNetwork
🔥7👍1
LAB(3).pkt
83.8 KB
#جواب_چالش_شماره_سه
روی سوییچ ۴ مکانیزم DHCP Snooping فعال شده است. پورت 0/4 به عنوان یکی از پورتهای untrust تعیین شده است. از آنجایی که سرور DHCP ما از طریق این پورت بستههای خود را ارسال میکند، باید در تنظیمات اینترفیس آن را به عنوان پورت Trust تعیین کنیم.
کامند :
🔖 #Network, #شبکه
👤 8
💎 Channel: @DevelopixNetwork
روی سوییچ ۴ مکانیزم DHCP Snooping فعال شده است. پورت 0/4 به عنوان یکی از پورتهای untrust تعیین شده است. از آنجایی که سرور DHCP ما از طریق این پورت بستههای خود را ارسال میکند، باید در تنظیمات اینترفیس آن را به عنوان پورت Trust تعیین کنیم.
کامند :
ip dhcp snooping trust
🔖 #Network, #شبکه
👤 8
💎 Channel: @DevelopixNetwork
👍5
شما در حال بررسی یک ترافیک مشکوک در شبکه سازمانی هستید و متوجه میشوید که یک کاربر بدون داشتن رمز عبور در حال احراز هویت به یک سرویس است. کدام حمله احتمالاً در حال اجرا است؟
نکته:حتی پس از تغییر رمز عبور کاربران هم ممکن است معتبر باقی بماند.
نکته:حتی پس از تغییر رمز عبور کاربران هم ممکن است معتبر باقی بماند.
Anonymous Quiz
14%
A) Kerberoasting
29%
B) Pass-the-Hash
37%
C) Golden Ticket Attack
21%
D) Credential Stuffing
👍14❤1
شما دسترسی اولیه به یک سرور لینوکسی گرفتید و میخواید امتیاز خودتون رو به root افزایش بدید. کدوم تکنیک زیر برای Privilege Escalation موثر تره؟
Anonymous Quiz
55%
جستجوی باینریهای SUID با دستور find / -perm -4000 -type f 2>/dev/null
19%
اجرای netstat -tulnp برای پیدا کردن پورتهای باز
16%
چک کردن iptables برای پیدا کردن رولهای فایروال
11%
اجرای crontab -e برای تغییر زمانبندی تسکها
🔥14👎1
Forwarded from Developix Support
استخدام NOC Cloud Engineer از مسیر آموزش
در بوتکمپ تخصصی Network Operations Center-Tier 1
۸۰ ساعت | آنلاین
🔸آموزش در این بوتکمپ زیر نظر متخصصان با سابقه حوزه شبکه و دیتاسنتر انجام میشود و هدف آن استخدام در موقعیت شغلی کارشناس مرکز عملیات شبکه از میان نفرات برتر بوتکمپ است.
📌برخی از سرفصلهای دوره:
- نصب و مدیریت لینوکس (بر اساس LPIC1 سفارشی)
- اصول شبکه (+Network / CCNA)
- امنیت پایه (+Security)
- مانیتورینگ سرویسها و کار با ابزارهای حرفهای
- مدیریت Incident و تیکتینگ
این دوره مناسب چی کسانی است⁉️
-علاقهمندان به شبکه، IT و امنیت؛
-فارغالتحصیلان یا دانشجویان رشتههای کامپیوتر و برق؛
-کسانی که میخواهند خیلی سریع وارد بازار کار فناوری اطلاعات شوند؛
-افرادی که به دنبال اولین تجربه شغلی در حوزه NOC و شبکه هستند.
📆 تاریخ شروع بوتکمپ: ۳ آبان۱۴۰۴
🔰 بدون پیشنیاز؛ همراه با پروژه عملی و کوئیز
🧾مدرک پایان دوره
🔗 اطلاعات بیشتر و پیشثبتنام👇
https://B2n.ir/mq4649
___
فناپکمپس؛ رشد در بازار کار دیجیتال
@Fanapcampus
در بوتکمپ تخصصی Network Operations Center-Tier 1
۸۰ ساعت | آنلاین
🔸آموزش در این بوتکمپ زیر نظر متخصصان با سابقه حوزه شبکه و دیتاسنتر انجام میشود و هدف آن استخدام در موقعیت شغلی کارشناس مرکز عملیات شبکه از میان نفرات برتر بوتکمپ است.
📌برخی از سرفصلهای دوره:
- نصب و مدیریت لینوکس (بر اساس LPIC1 سفارشی)
- اصول شبکه (+Network / CCNA)
- امنیت پایه (+Security)
- مانیتورینگ سرویسها و کار با ابزارهای حرفهای
- مدیریت Incident و تیکتینگ
این دوره مناسب چی کسانی است⁉️
-علاقهمندان به شبکه، IT و امنیت؛
-فارغالتحصیلان یا دانشجویان رشتههای کامپیوتر و برق؛
-کسانی که میخواهند خیلی سریع وارد بازار کار فناوری اطلاعات شوند؛
-افرادی که به دنبال اولین تجربه شغلی در حوزه NOC و شبکه هستند.
📆 تاریخ شروع بوتکمپ: ۳ آبان۱۴۰۴
🔰 بدون پیشنیاز؛ همراه با پروژه عملی و کوئیز
🧾مدرک پایان دوره
🔗 اطلاعات بیشتر و پیشثبتنام👇
https://B2n.ir/mq4649
___
فناپکمپس؛ رشد در بازار کار دیجیتال
@Fanapcampus
❤2
Forwarded from | Erfan's Notes |
حدودا یک ماه از ریلیز شدن نسخه 3.0 وباسمبلی (WASM) میگذره و الان فرصت کردم درموردش بخونم، تغییرات مهمی که داشته رو پایین مینویسم.
💠 پشتیبانی از Address Space های 64 بیت
تا قبل از این نسخه، وباسمبلی محدود به آدرسهای i32 بود و نمیتونست بیشتر از 4GB رو آدرسدهی کنه، ولی پشتیبانی از i64 اضافه شده و این محدودیت عملا بینهایت شده، هرچند که همچنان مرورگرها حداکثر اجازه allocate کردن 16GB رو میدن.
💠 پشتیبانی از Memory های چندگانه
تا قبل از این نسخه، هر ماژول وباسمبلی فقط محدود به یک Memory بود و برای تفکیک باید ماژولها Split میشدند، ولی در این نسخه قابلیت داشتن Memory های متعدد برای یک ماژول اضافه شده.
💠 پشتیبانی از Garbage Collection
در این نسخه یک افزونه با عنوان wasm-gc اضافه شده که در سطوح پایین میتونه مموری رو بهصورت خودکار مدیریت کنه، کامپایلرها میتونند Struct ها و آرایهها و بعضی Integer ها رو به صورت تگ شده تعریف کنند و خود wasm وظیفه allocation و lifetime شون رو برعهده بگیره.
💠 پشتیبانی از Tail Call ها
قابلیت Tail Call به وباسمبلی اضافه شده، این ویژگی از زبانهای فانکشنال الگو گرفته، به این معنی که فانکشنها میتونند در آخرین اکشنشون یک فانکشن دیگهای رو کال کنند بدون اینکه فضایی از Stack رو اشغال کنند، این موضوع در کال های Recursive اهمیت زیادی داره.
💠 پشتیبانی از Exception ها
پشتیبانی از Exception های try و catch در وباسمبلی اضافه شده، تا قبل از این برای چنین کاری باید از JS استفاده میشد.
💠 پشتیبانی از String های جاوا اسکریپت
قابلیت رد و بدل کردن مستقیم String های جاوا اسکریپت بدون نیاز به تبدیل دو طرفه اضافه شده، میتونید مقادر String رو به صورت مستقیم بهعنوان externref پاس بدید و سمت wasm تغییرات لازم رو روش اعمال کنید و سمت JS تحویل بگیرید.
و البته کلی قابلیت دیگه که اگر دوست داشتید میتونید اینجا بخونید.
تا قبل از این نسخه، وباسمبلی محدود به آدرسهای i32 بود و نمیتونست بیشتر از 4GB رو آدرسدهی کنه، ولی پشتیبانی از i64 اضافه شده و این محدودیت عملا بینهایت شده، هرچند که همچنان مرورگرها حداکثر اجازه allocate کردن 16GB رو میدن.
تا قبل از این نسخه، هر ماژول وباسمبلی فقط محدود به یک Memory بود و برای تفکیک باید ماژولها Split میشدند، ولی در این نسخه قابلیت داشتن Memory های متعدد برای یک ماژول اضافه شده.
در این نسخه یک افزونه با عنوان wasm-gc اضافه شده که در سطوح پایین میتونه مموری رو بهصورت خودکار مدیریت کنه، کامپایلرها میتونند Struct ها و آرایهها و بعضی Integer ها رو به صورت تگ شده تعریف کنند و خود wasm وظیفه allocation و lifetime شون رو برعهده بگیره.
قابلیت Tail Call به وباسمبلی اضافه شده، این ویژگی از زبانهای فانکشنال الگو گرفته، به این معنی که فانکشنها میتونند در آخرین اکشنشون یک فانکشن دیگهای رو کال کنند بدون اینکه فضایی از Stack رو اشغال کنند، این موضوع در کال های Recursive اهمیت زیادی داره.
پشتیبانی از Exception های try و catch در وباسمبلی اضافه شده، تا قبل از این برای چنین کاری باید از JS استفاده میشد.
قابلیت رد و بدل کردن مستقیم String های جاوا اسکریپت بدون نیاز به تبدیل دو طرفه اضافه شده، میتونید مقادر String رو به صورت مستقیم بهعنوان externref پاس بدید و سمت wasm تغییرات لازم رو روش اعمال کنید و سمت JS تحویل بگیرید.
و البته کلی قابلیت دیگه که اگر دوست داشتید میتونید اینجا بخونید.
Please open Telegram to view this post
VIEW IN TELEGRAM
❤1
🧟♂️Zombie Process🧟♂️
🪦 زامبی چیه؟!
موجودی که مُرده ولی هنوز تو دنیا پرسه میزنه..!
⚙️ زامبی پراسس چیه؟
توی Linux/Unix وقتی یک پردازش تموم میشه ولی هنوز در جدول پردازشها هست بهش میگن زامبی پراسس. حالا چرا؟ در واقع پردازش فرزند(child) به اتمام رسیده اما والد(parent) هنوز بهش خبر نرسیده که کار فرزند تموم شده. در این حالت علنا فرزند هیچ کاری نمیتونه بکنه و صرفا مثل یه زامبی میفته به جون منابعمون! به خودیه خود منابع زیادی اشغال نمیکنه و صرفا به عنوان یک entry هست ولی تعداد بالاش باعث میشه جدول پردازشامون پر شه و نتونیم پردازه جدید ایجاد کنیم.
❕حالا چجوری تشخیصشون بدیم؟!
توی ترمینال میتونیم از دستورات زیر استفاده کنیم:
*️⃣ ps aux | grep Z
*️⃣ top
❕بعد از اینکه تشخیص دادیمشون، چجوری از بین ببریمشون؟!
اول یه سوال دارم.. کسی که مرده رو میتونیم دوباره بکشیم؟! نه.
پس زامبی رو نمیتونیم مستقیم با kill حذف کنیم چون دیگه در حال اجرا نیست. تنها راه اینه که یا والدش با wait() وضعیتش رو جمع کنه، یا اگه والدش پاسخگو نیست، اون والد رو با kill خاتمه بدیم تا systemd به عنوان والد جدید اون رو تحویل بگیره و زامبی پاک بشه.
حالا چجوری پراسسی که systemd والدش نیست رو والدشو عوض کنیم؟!
یبار سیگنال ۹ رو میفرستیم سمت والدش و وقتی بچه بدون خانواده بمونه systemd به سرپرستی میگیرتش و ما میتونیم خودمونو از دست زامبی ها نجات بدیم 🩶
*️⃣ kill -9 <pid>
👁️🗨️فقط حواستون باشه زامبی پراسس رو با پراسس های یتیم (orphan process) اشتباه نگیرید. پراسس های یتیم کلا پدر مادر ندارن و والدشون رفته و خودشون موندن. ولی زامبی یعنی پدر مادرشون از سرنوشت بچه هاشون خبر ندارن 😅
🔖 #Network
👤 Drwisc
💎 Channel: @DevelopixNetwork
🪦 زامبی چیه؟!
موجودی که مُرده ولی هنوز تو دنیا پرسه میزنه..!
⚙️ زامبی پراسس چیه؟
توی Linux/Unix وقتی یک پردازش تموم میشه ولی هنوز در جدول پردازشها هست بهش میگن زامبی پراسس. حالا چرا؟ در واقع پردازش فرزند(child) به اتمام رسیده اما والد(parent) هنوز بهش خبر نرسیده که کار فرزند تموم شده. در این حالت علنا فرزند هیچ کاری نمیتونه بکنه و صرفا مثل یه زامبی میفته به جون منابعمون! به خودیه خود منابع زیادی اشغال نمیکنه و صرفا به عنوان یک entry هست ولی تعداد بالاش باعث میشه جدول پردازشامون پر شه و نتونیم پردازه جدید ایجاد کنیم.
❕حالا چجوری تشخیصشون بدیم؟!
توی ترمینال میتونیم از دستورات زیر استفاده کنیم:
*️⃣ ps aux | grep Z
*️⃣ top
❕بعد از اینکه تشخیص دادیمشون، چجوری از بین ببریمشون؟!
اول یه سوال دارم.. کسی که مرده رو میتونیم دوباره بکشیم؟! نه.
پس زامبی رو نمیتونیم مستقیم با kill حذف کنیم چون دیگه در حال اجرا نیست. تنها راه اینه که یا والدش با wait() وضعیتش رو جمع کنه، یا اگه والدش پاسخگو نیست، اون والد رو با kill خاتمه بدیم تا systemd به عنوان والد جدید اون رو تحویل بگیره و زامبی پاک بشه.
حالا چجوری پراسسی که systemd والدش نیست رو والدشو عوض کنیم؟!
یبار سیگنال ۹ رو میفرستیم سمت والدش و وقتی بچه بدون خانواده بمونه systemd به سرپرستی میگیرتش و ما میتونیم خودمونو از دست زامبی ها نجات بدیم 🩶
*️⃣ kill -9 <pid>
👁️🗨️فقط حواستون باشه زامبی پراسس رو با پراسس های یتیم (orphan process) اشتباه نگیرید. پراسس های یتیم کلا پدر مادر ندارن و والدشون رفته و خودشون موندن. ولی زامبی یعنی پدر مادرشون از سرنوشت بچه هاشون خبر ندارن 😅
🔖 #Network
👤 Drwisc
💎 Channel: @DevelopixNetwork
🔥11👍5👎3❤1
🔎 آموزش عملی: اسکن شبکه با Nmap برای ارزیابی آسیبپذیری
یک معرفی کوتاه: گاهی لازم است سریع بفهمی کدامهاستها در شبکهتان باز و پرخطر هستند — اینجا Nmap ابزارِ کلاسیک و قابلاعتماد برای کشف سرویسها، پورتها و سیستمعاملهاست. همیشه با اجازه و در محیط قانونی تست کنید. ✅
ایدهی کلی و سناریو: فرض کن شبکه داخلی 192.168.1.0/24 داری و میخواهی با ترکیبی از اسکن TCP SYN، تشخیص سرویس و شناسایی OS، دید کلی از وضعیت بهدست بیاوری. این کار کمک میکند تا نقاط ورودی نامطمئن یا سرویسهای قدیمی را پیدا کنی. 🔐
نکات عملی:
- ابتدا از یک اسکن سریع برای کشف میزبانها استفاده کن، سپس اسکن عمیقتر روی میزبانهای جذاب اجرا کن.
- اگر فایروال پینگ ICMP را بلاک میکند، از -Pn استفاده کن تا Nmap میزبانها را «فرض» کند.
- برای گزارشدهی قابلپیگیری از خروجیهای XML/grepable/normal استفاده کن (-oA).
نمونهٔ دستور واقعی (روی شبکه خودت، با اجازه):
توضیح کوتاه دربارهٔ پارامترها:
- -sS : TCP SYN (سریع و معمول برای کشف پورتها)
- -sV : تشخیص سرویس/ورژن
- -O : تشخیص سیستمعامل
- -p- : همهٔ پورتها
- -T4 : سرعت متعادل برای شبکههای محلی
- -oA myscan : خروجی در 3 فرمت (همگامسازی برای تحلیل)
منابع معتبر: مستندات رسمی Nmap را ببین (nmap.org/book) و همیشه دستورالعملهای اخلاقی/قانونی را رعایت کن.
چرا مفیده؟ این روش بهسرعت نمای کلی از ریسکها میدهد و پیشنیاز خیلی از تستهای نفوذ و بررسیهای پیکربندی فایروال هست. ⚙️
نکتهٔ انساندوستانه: نتایج را قبل از هر اقدامی تحلیل کن — باز بودن پورت همیشه به معنی آسیبپذیری نیست، ولی سیگنالی برای بررسی بیشتر است. 🚨
👤 Developix
💎 Channel: @DevelopixNetwork
یک معرفی کوتاه: گاهی لازم است سریع بفهمی کدامهاستها در شبکهتان باز و پرخطر هستند — اینجا Nmap ابزارِ کلاسیک و قابلاعتماد برای کشف سرویسها، پورتها و سیستمعاملهاست. همیشه با اجازه و در محیط قانونی تست کنید. ✅
ایدهی کلی و سناریو: فرض کن شبکه داخلی 192.168.1.0/24 داری و میخواهی با ترکیبی از اسکن TCP SYN، تشخیص سرویس و شناسایی OS، دید کلی از وضعیت بهدست بیاوری. این کار کمک میکند تا نقاط ورودی نامطمئن یا سرویسهای قدیمی را پیدا کنی. 🔐
نکات عملی:
- ابتدا از یک اسکن سریع برای کشف میزبانها استفاده کن، سپس اسکن عمیقتر روی میزبانهای جذاب اجرا کن.
- اگر فایروال پینگ ICMP را بلاک میکند، از -Pn استفاده کن تا Nmap میزبانها را «فرض» کند.
- برای گزارشدهی قابلپیگیری از خروجیهای XML/grepable/normal استفاده کن (-oA).
نمونهٔ دستور واقعی (روی شبکه خودت، با اجازه):
sudo nmap -sS -sV -O -p- -T4 192.168.1.0/24 -oA myscan
توضیح کوتاه دربارهٔ پارامترها:
- -sS : TCP SYN (سریع و معمول برای کشف پورتها)
- -sV : تشخیص سرویس/ورژن
- -O : تشخیص سیستمعامل
- -p- : همهٔ پورتها
- -T4 : سرعت متعادل برای شبکههای محلی
- -oA myscan : خروجی در 3 فرمت (همگامسازی برای تحلیل)
منابع معتبر: مستندات رسمی Nmap را ببین (nmap.org/book) و همیشه دستورالعملهای اخلاقی/قانونی را رعایت کن.
چرا مفیده؟ این روش بهسرعت نمای کلی از ریسکها میدهد و پیشنیاز خیلی از تستهای نفوذ و بررسیهای پیکربندی فایروال هست. ⚙️
نکتهٔ انساندوستانه: نتایج را قبل از هر اقدامی تحلیل کن — باز بودن پورت همیشه به معنی آسیبپذیری نیست، ولی سیگنالی برای بررسی بیشتر است. 🚨
👤 Developix
💎 Channel: @DevelopixNetwork
❤5👍1
امنیت TLS در Nginx — اجباری کردن TLS 1.2+ 🔐
این نکته عملی برای مدیران سرویس و مهندسان شبکه: از نسخهها و سیدهای ضعیف TLS اجتناب کنید و کانفیگ Nginx را طوری تنظیم کنید که فقط TLS 1.2 و 1.3 فعال باشند. این کار جلوی حملاتی مثل POODLE/BEAST و استفاده از رمزهای ضعیف را میگیرد و سازگاری با استانداردهای مدرن را تضمین میکند. ✅
توضیح کوتاه و عملی:
- در nginx ویژگیهایی مثل protocol و cipher suites را مشخص کنید.
- از کلیدهای ECDHE برای forward secrecy استفاده کنید.
- از مجموعههای پیشنهادی مرسوم (Mozilla/OWASP) بهره ببرید.
نمونه کانفیگ مینیمال (جایگزینی paths با فایلهای واقعی):
سپس با این دستورها تست کنید (مثال):
نکات مفید: از HSTS با مقدار مناسب استفاده کنید، کلیدها را منظم بازنشانی کنید و کانفیگ را با ابزارهایی مثل sslscan یا Mozilla SSL Configuration چک کنید. مشکل رایج: فعال ماندن TLS1.0/1.1 یا استفاده از cipherهای مبتنی بر RSA بدون ECDHE که Forward Secrecy را از بین میبرد. ⚠️
امتحانش کنید و کانفیگتان را با ابزارهای رسمی بررسی کنید تا از سازگاری و امنیت سرویس اطمینان حاصل شود.
منبع معتبر: Mozilla SSL Configuration
🔖 #Security #امنیت #TLS #Nginx #Encryption #NetworkSecurity #BestPractices
👤 Developix
💎 Channel: @DevelopixNetwork
این نکته عملی برای مدیران سرویس و مهندسان شبکه: از نسخهها و سیدهای ضعیف TLS اجتناب کنید و کانفیگ Nginx را طوری تنظیم کنید که فقط TLS 1.2 و 1.3 فعال باشند. این کار جلوی حملاتی مثل POODLE/BEAST و استفاده از رمزهای ضعیف را میگیرد و سازگاری با استانداردهای مدرن را تضمین میکند. ✅
توضیح کوتاه و عملی:
- در nginx ویژگیهایی مثل protocol و cipher suites را مشخص کنید.
- از کلیدهای ECDHE برای forward secrecy استفاده کنید.
- از مجموعههای پیشنهادی مرسوم (Mozilla/OWASP) بهره ببرید.
نمونه کانفیگ مینیمال (جایگزینی paths با فایلهای واقعی):
server {
listen 443 ssl http2;
server_name example.com;
ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;
ssl_protocols TLSv1.2 TLSv1.3;
ssl_prefer_server_ciphers off;
ssl_ciphers 'ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384';
add_header Strict-Transport-Security "max-age=63072000; includeSubDomains; preload" always;
}
سپس با این دستورها تست کنید (مثال):
openssl s_client -connect example.com:443 -tls1_2
curl -I https://example.com --http2
نکات مفید: از HSTS با مقدار مناسب استفاده کنید، کلیدها را منظم بازنشانی کنید و کانفیگ را با ابزارهایی مثل sslscan یا Mozilla SSL Configuration چک کنید. مشکل رایج: فعال ماندن TLS1.0/1.1 یا استفاده از cipherهای مبتنی بر RSA بدون ECDHE که Forward Secrecy را از بین میبرد. ⚠️
امتحانش کنید و کانفیگتان را با ابزارهای رسمی بررسی کنید تا از سازگاری و امنیت سرویس اطمینان حاصل شود.
منبع معتبر: Mozilla SSL Configuration
🔖 #Security #امنیت #TLS #Nginx #Encryption #NetworkSecurity #BestPractices
👤 Developix
💎 Channel: @DevelopixNetwork
🔥3❤1
🔹 ssh فقط برای لاگین نیست!
خیلی وقتها لازم میشه به یه سرویس روی سرور (مثلاً پنل وب، پایگاهداده یا یه پورت مدیریت) از راه دور وصل بشیم، ولی نمیخوایم پورتی رو روی اینترنت باز بذاریم. اینجا ssh میتونه مثل یه تونل امن عمل کنه و ترافیک رو از داخل کانال رمزشده رد کنه.
این تکنیک تو دنیای Network & Security خیلی کاربردیه؛ مخصوصاً وقتی طبق توصیههای OWASP و NIST میخوای سطح حمله (Attack Surface) رو کم کنی و پورتهای غیرضروری رو Public نگه نداری.
📌 سناریو واقعی
فرض کن روی سرورت یه وباپلیکیشن ادمین داری که فقط روی
با ssh Local Port Forwarding میتونی کاری کنی که روی سیستم لوکال خودت یه پورت (مثلاً 9090) باز شه و هرچی بهش میزنی، به صورت امن بره سمت سرور و به
🛠 دستور اصلی
روی سیستم لوکال (لپتاپ خودت) این رو بزن:
🔹
🔹
🔹
🔹
بعد از اجرا، توی مرورگر خودت بزن:
درحالیکه هیچ پورتی روی اینترنت برای اون سرویس باز نشده، فقط کسی که ssh-access داره به سرور، میتونه به پنل ادمین دسترسی داشته باشه. این یعنی هم Segmentation هم نوعی Defense in Depth ساده ولی مؤثر. 😎
✨ چند نکته امنیتی مهم
• بهتره Login با Password رو روی ssh ببندی و فقط از SSH Key استفاده کنی (توصیهی OWASP هم همینه).
• حتماً
• لاگها رو توی
📚 منبع برای عمیقتر شدن
مستند رسمی OpenSSH توضیح کامل و بهروز درباره Port Forwarding داره:
https://www.openssh.com/manual.html
🌱 یه بار روی یه سرور تست این تونل رو بساز، با خیال راحت بازی کن، لاگها رو نگاه کن و ببین چطور میشه سرویسهای حساس رو بدون باز کردن Port روی اینترنت در دسترس نگه داشت. اگه خوشت اومد، این تکنیک رو توی محیط کاریات هم پیشنهاد بده.
🔖 #Security #امنیت #ssh #tunneling #port_forwarding #linux #security #networking
👤 Developix
💎 Channel: @DevelopixNetwork
خیلی وقتها لازم میشه به یه سرویس روی سرور (مثلاً پنل وب، پایگاهداده یا یه پورت مدیریت) از راه دور وصل بشیم، ولی نمیخوایم پورتی رو روی اینترنت باز بذاریم. اینجا ssh میتونه مثل یه تونل امن عمل کنه و ترافیک رو از داخل کانال رمزشده رد کنه.
این تکنیک تو دنیای Network & Security خیلی کاربردیه؛ مخصوصاً وقتی طبق توصیههای OWASP و NIST میخوای سطح حمله (Attack Surface) رو کم کنی و پورتهای غیرضروری رو Public نگه نداری.
📌 سناریو واقعی
فرض کن روی سرورت یه وباپلیکیشن ادمین داری که فقط روی
localhost:8080 گوش میده و پشت فایروال مخفیه. نمیخوای Port 8080 رو تو اینترنت باز کنی، ولی از خونه باید بهش دسترسی داشته باشی.با ssh Local Port Forwarding میتونی کاری کنی که روی سیستم لوکال خودت یه پورت (مثلاً 9090) باز شه و هرچی بهش میزنی، به صورت امن بره سمت سرور و به
localhost:8080 اونجا وصل شه.🛠 دستور اصلی
روی سیستم لوکال (لپتاپ خودت) این رو بزن:
ssh -L 9090:localhost:8080 user@example.com -N -C
🔹
-L 9090:localhost:8080 یعنی هر درخواست به 127.0.0.1:9090 روی سیستم تو، از داخل تونل ssh بره به localhost:8080 روی سرور.🔹
user@example.com هم یوزر و سرور مقصدت هست (میتونه IP هم باشه).🔹
-N یعنی شل باز نکن، فقط تونل رو نگه دار.🔹
-C هم Compression روشن میکنه که روی لینکهای کند مفیده.بعد از اجرا، توی مرورگر خودت بزن:
http://127.0.0.1:9090
درحالیکه هیچ پورتی روی اینترنت برای اون سرویس باز نشده، فقط کسی که ssh-access داره به سرور، میتونه به پنل ادمین دسترسی داشته باشه. این یعنی هم Segmentation هم نوعی Defense in Depth ساده ولی مؤثر. 😎
✨ چند نکته امنیتی مهم
• بهتره Login با Password رو روی ssh ببندی و فقط از SSH Key استفاده کنی (توصیهی OWASP هم همینه).
• حتماً
AllowUsers یا AllowGroups رو توی /etc/ssh/sshd_config محدود کن که هر یوزری نتونه تونل بسازه.• لاگها رو توی
/var/log/auth.log (روی Debian/Ubuntu) زیر نظر داشته باش تا سوءاستفاده از تونلها رو زودتر ببینی.📚 منبع برای عمیقتر شدن
مستند رسمی OpenSSH توضیح کامل و بهروز درباره Port Forwarding داره:
https://www.openssh.com/manual.html
🌱 یه بار روی یه سرور تست این تونل رو بساز، با خیال راحت بازی کن، لاگها رو نگاه کن و ببین چطور میشه سرویسهای حساس رو بدون باز کردن Port روی اینترنت در دسترس نگه داشت. اگه خوشت اومد، این تکنیک رو توی محیط کاریات هم پیشنهاد بده.
🔖 #Security #امنیت #ssh #tunneling #port_forwarding #linux #security #networking
👤 Developix
💎 Channel: @DevelopixNetwork
❤8