1. Уважаемые посетители форума! Прежде чем помещать в форум новое сообщение о возникшей у Вас проблеме, пожалуйста, поищите ее решение в ответах на часто задаваемые вопросы FAQ, или воспользуйтесь поиском по форуму.
  2. Форум не является системой моментального ответа на вопросы. Если Вам необходимо получить ответ на ваш вопрос в кратчайшие сроки - пожалуйста, позвоните в ближайший к Вам региональный офис D-Link.
faq обучение настройка
Текущее время: Ср апр 24, 2024 13:13

Сообщения без ответов | Активные темы


Список форумов » ADSL IP DSLAM, GePON, GPON устройства

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  Страница 1 из 1
  [ Сообщений: 8 ] 
  Предыдущая тема | Следующая тема 
Автор Сообщение
Lone wolf
 Заголовок сообщения: ACL Возможна ли блокировка порта 67?
СообщениеДобавлено: Вт ноя 30, 2010 14:01 
Не в сети

Зарегистрирован: Вт окт 16, 2007 11:37
Сообщений: 26
Добрый день,
Недавно получили ответ по поводу левых дхцп серверов за свичами от ваших специалистов.
Скажите, возможно ли проделать такое же на дсламах (блокировка 67 порта на исходящий трафик)?

Цитата:
Блокирование самозарождающихся на компах юзеров DHCP-серверов:
# create access_profile IP udp src_port 0xFFFF profile_id 10
# config access_profile profile_id 10 add access_id 1 IP udp src_port 67 port 1-24 deny


Заранее спасибо.
Вернуться наверх
 Профиль  
 
Davydov Denis
СообщениеДобавлено: Ср дек 01, 2010 09:46 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт апр 01, 2005 12:35
Сообщений: 8492
Откуда: Москва
Здравствуйте,

Какие именно DSLAM Вас интересуют? Назовите модели.

_________________
С уважением, Давыдов Денис.
Вернуться наверх
 Профиль  
 
Lone wolf
СообщениеДобавлено: Ср дек 01, 2010 14:17 
Не в сети

Зарегистрирован: Вт окт 16, 2007 11:37
Сообщений: 26
Всего дсламов 21 штука (все модели 3224):
8 ревизий А
12 ревизий Б
1 ревизия Ц

Хотелось бы поставить эту защиту максимально, где это возможно.
Вернуться наверх
 Профиль  
 
Davydov Denis
СообщениеДобавлено: Ср дек 01, 2010 15:05 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт апр 01, 2005 12:35
Сообщений: 8492
Откуда: Москва
Пример создания правила (будет работать на всех ревижнах DSLAM):

$create filter rule entry ruleid 25 action drop statsstatus enable ruledir out
$create filter subrule udp ruleid 25 subruleid 1 dstportfrom 67 dstportcmp eq
$create filter rule map ruleid 25 ifname alleoa stageid 1 orderId 1
$modify filter rule entry ruleid 25 status enable
$commit

Данное правило блокирует DHCP Discovery пакеты в сторону абонентов.

_________________
С уважением, Давыдов Денис.
Вернуться наверх
 Профиль  
 
Lone wolf
СообщениеДобавлено: Вт июн 21, 2011 17:24 
Не в сети

Зарегистрирован: Вт окт 16, 2007 11:37
Сообщений: 26
Добрый день,
прошлые фильтры до сих пор всё работало успешно...
Но появился у нас один клиент с модемом-рутером (тренднет) в одной коробке, от которого по неизвестным причинам идёт раздача адресов:
dhcp:~$ cat /var/log/dhcpd.log | grep 64:c6
Jun 21 13:59:31 dhcp dhcpd: DHCPDISCOVER from 00:0b:6a:73:64:c6 via 81.25.250.1
Jun 21 13:59:31 dhcp dhcpd: DHCPREQUEST for 192.168.10.35 (192.168.10.1) from 00:0b:6a:73:64:c6 via 81.25.250.1: wrong network.
Jun 21 13:59:31 dhcp dhcpd: DHCPNAK on 192.168.10.35 to 00:0b:6a:73:64:c6 via 81.25.250.1
Jun 21 13:59:32 dhcp dhcpd: DHCPOFFER on 81.25.250.75 to 00:0b:6a:73:64:c6 (K7VT4APLUS) via 81.25.250.1
Jun 21 14:04:49 dhcp dhcpd: DHCPDISCOVER from 00:0b:6a:73:64:c6 (K7VT4APLUS) via 81.25.250.1
Jun 21 14:04:49 dhcp dhcpd: DHCPREQUEST for 192.168.10.35 (192.168.10.1) from 00:0b:6a:73:64:c6 via 81.25.250.1: wrong network.
Jun 21 14:04:49 dhcp dhcpd: DHCPNAK on 192.168.10.35 to 00:0b:6a:73:64:c6 via 81.25.250.1

У абонента я был, ничего подозрительного не нашёл.
Вопрос такой, можно ли блокировать при помощи фильтра раздачу с этого порта?

Заранее спасибо.
Вернуться наверх
 Профиль  
 
Alexey Gakalo
СообщениеДобавлено: Пт июн 24, 2011 14:48 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Чт мар 17, 2005 11:14
Сообщений: 1314
Откуда: Воронеж
Можно.Правило закрывает 67 порт.
Пока правило работало без сбоев.

В противном случае нужен сниф пакетов в формате TCPDUMP чтоб разобраться

_________________
С уважением, Гакало Алексей
Вернуться наверх
 Профиль  
 
Lone wolf
СообщениеДобавлено: Вт дек 13, 2011 12:48 
Не в сети

Зарегистрирован: Вт окт 16, 2007 11:37
Сообщений: 26
Добрый день,
хотел бы уточнить работает ли данное правило на всех ревижинах ДСЛАМов?
Выдаются немного рахные результаты:
РЕВ Б
$get filter rule map

Interface : alleth Stage Id : 1
Rule Id : 2 Order Id : 2

Interface : alleoa Stage Id : 1
Rule Id : 25 Order Id : 1

Interface : all Stage Id : 1
Rule Id : 1 Order Id : 1

РЕВ А:
$ get filter rule map

Interface : eth-0 Stage Id : 1
Rule Id : 1 Order Id : 1

Interface : eoa-0 Stage Id : 1
Rule Id : 1 Order Id : 1

Interface : eoa-1 Stage Id : 1
Rule Id : 1 Order Id : 1

Interface : eoa-2 Stage Id : 1
Rule Id : 1 Order Id : 1

Interface : eoa-3 Stage Id : 1
Rule Id : 1 Order Id : 1

Interface : eoa-4 Stage Id : 1
Rule Id : 1 Order Id : 1

Interface : eoa-5 Stage Id : 1
Rule Id : 1 Order Id : 1

Interface : eoa-6 Stage Id : 1
Rule Id : 1 Order Id : 1

Interface : eoa-7 Stage Id : 1
Rule Id : 1 Order Id : 1

Interface : eoa-8 Stage Id : 1
Rule Id : 1 Order Id : 1

Interface : eoa-9 Stage Id : 1
Rule Id : 1 Order Id : 1

Interface : eoa-10 Stage Id : 1
Rule Id : 1 Order Id : 1

Interface : eoa-11 Stage Id : 1
Rule Id : 1 Order Id : 1

Interface : eoa-12 Stage Id : 1
Rule Id : 1 Order Id : 1

Interface : eoa-13 Stage Id : 1
Rule Id : 1 Order Id : 1

Interface : eoa-14 Stage Id : 1
Rule Id : 1 Order Id : 1

Interface : eoa-15 Stage Id : 1
Rule Id : 1 Order Id : 1

Interface : eoa-16 Stage Id : 1
Rule Id : 1 Order Id : 1

Interface : eoa-17 Stage Id : 1
Rule Id : 1 Order Id : 1

Interface : eoa-18 Stage Id : 1
Rule Id : 1 Order Id : 1

Interface : eoa-19 Stage Id : 1
Rule Id : 1 Order Id : 1

Interface : eoa-20 Stage Id : 1
Rule Id : 1 Order Id : 1

Interface : eoa-21 Stage Id : 1
Rule Id : 1 Order Id : 1

Interface : eoa-22 Stage Id : 1
Rule Id : 1 Order Id : 1

Interface : eoa-23 Stage Id : 1
Rule Id : 1 Order Id : 1

Interface : alleoa Stage Id : 1
Rule Id : 25 Order Id : 1

Не мешаеют ли лишние правила?
Вернуться наверх
 Профиль  
 
Alexey Gakalo
СообщениеДобавлено: Ср дек 14, 2011 09:41 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Чт мар 17, 2005 11:14
Сообщений: 1314
Откуда: Воронеж
Нет не мешают.

_________________
С уважением, Гакало Алексей
Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  Страница 1 из 1
  [ Сообщений: 8 ] 

Список форумов » ADSL IP DSLAM, GePON, GPON устройства

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 6

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB