تجاربي مع مشاكل الجدار الناري 'Firewall'

معظم او إن لم يكن جميع  جدران النار تأتي بإعدادات إفتراضية أولية هي Deny All، أي أن جميع المنافذ تكون مغلقة. وينبغي عليك تخصيص هذه الإعدادات حسب حاجتك. أحيانا يقوم جدار النار نفسه خلال مرحلة التنصيب باستكشاف وتخصيص الإعدادات؛ من خلال فحص كرت الشبكة وإعداداته والتي بناءاً عليها يحدد عنوان الشبكة المحلية الداخلية لديك، وبالتالي تصبح أي شبكة أخرى مثل الإنترنت أو DMZ هي شبكة خارجية دخيلة يجب إغلاق المنافذ أمام الحزم القادمة منها حتى إشعار آخر. ويبقى عليك لاحقاً تخصيص هذه الإعدادات بفتح المنافذ حسب ما يتطلبه عملك.

الشاشة التالية هي مثال بسيط على عملية التخصيص، وعلى الأغلب هي مألوفة لديك. فهي تمثل السلوك المتعارف عليه في جميع جدران النار والتي تسألك من خلالها عن إمكانية فتح المجال أمام برنامج ما للعمل أو الوصول إلى الإنترنت.

block

إستكمالاً للموضوع، أود أن أسرد بعض الأمثلة الأخرى التي واجهتني خلال العمل وتدخل ضمن تصنيف “المشاكل والحلول”.
أوامر Ping & Tracert
هذان الأمران من الأوامر النموذجية المستخدمة في تتبع مشاكل الشبكة وحلّها، وهما يعملان من خلال بروتوكول ICMP. (من وجهة نظر أمنية فإن تعطيل استقبال الأمر Ping على الأجهزة وخصوصاً السيرفرات يعتبر أمراً محبذاً إلى حد ما) لذلك قد تكون الإعدادات الإفتراضية لجدران النار بحيث تغلق المنافذ المستخدمة في هذه الأوامر.لكن هذا بالتأكيد سيعطي نتائج مضللة لك عند استخدامهما. فالنتيجة المعهودة Request timed out والتي تدل عادة على عدم القدرة على الوصول إلى الجهاز المعني، قد لا تدل بالضرورة على وجود مشكلة فعلية!!! بل قد يكون من أسبابها تشغيل جدار نار على الجهاز، أقله Windows Firewall، وهو السبب في منعك من فحص إتصال الشبكة بشكل سليم… جرّب أولاً تعطيله مؤقتاً أو عدّل إعدادات ICMP ثم حاول مرة أخرى، فإذا لم ينجح الأمر فعندها تعرف أن هناك مشكلة فعلية.
تنزيل المرفقات من Hotmail أو Yahoo
أصبح العديد من المستخدمين يشكون من عدم القدرة على تنزيل الملفات من المواقع، وخصوصاً مرفقات البريد الإلكتروني…تم فحص إحتمال وجود سياسات على ISA Server تمنع تنزيل المرفقات. ولوحظ أن معظم المرفقات تفتح من خلال نوافذ منبثقة Pop-up windows. ومع أنه يتم السماح بفتح النوافذ المنبثقة من خلال المتصفح إلا أن المشكلة بقيت على حالها…هناك خيار في حزمة الحماية من kaspersky يمنع فتح النوافذ المنبثقة، وعند تعطيله مؤقتاً أو إضافة استثناءات لمواقع البريد الإلكتروني حلّت المشكلة.
إستخدام برنامج TFTP لنقل الملفات من وإلى أجهزة الشبكة
أردت تحديث ملف التشغيل IOS على أحد أجهزة السويتش ، لذلك قمت بالخطوات المعتادة في هذا الأمر: أنشأت إتصالاً عن طريق Telnet للجهاز المذكور، شغلت برنامج TFTP Server وتأكدت أنه معدَ بالشكل الصحيح، وكخطوة إضافية للتأكد أجريت Ping من وإلى السويتش بنجاح… مع بدأ عملية النقل ظهرت رسالة:

%Error writing tftp://10.10.105.101/c3560.bin (Timed out attempting to connect
كتحصيل حاصل، لا يوجد مشكلة فعلية في عملية الإتصال بين السويتش وجهاز الكمبيوتر لأنه كما لاحظت عزيزي القاريء- توجد أصلاً جلسة telnet مفتوحة بينهما… لكن المشكلة -كما لا بد أن خمنت- هي في إغلاق المنفذ UDP 69 الخاص ببروتوكول TFTP على جهاز الكمبيوتر. وبمجرد فتح هذا المنفذ جرت الأمور على ما يرام.
Next Post Previous Post
No Comment
Add Comment
comment url