D-Link • Просмотр темы - DES-3326SR: фильтрация по tcp порту и порту свича

Сообщения без ответов | Активные темы

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа

DES-3326SR: фильтрация по tcp порту и порту свича

Модераторы: Victor Kolosov, Alexander Shebaronin, Demin Ivan, Sergei Asmankin, Denis Evgraphov, Sergik

Страница 1 из 1

[ Сообщений: 6 ]

Предыдущая тема | Следующая тема

Автор

Сообщение

gelin

Заголовок сообщения: DES-3326SR: фильтрация по tcp порту и порту свича

Добавлено: Сб янв 22, 2005 14:41

Зарегистрирован: Ср ноя 17, 2004 16:53
Сообщений: 20
Откуда: Омск

Имеем DES-3326SR, прошивка 4.01-B39

Хотим, чтобы на магистральный порт, и только на него, не пропускались tcp пакеты с портом назначения 135 и 445. Но между остальными портами свича эти же пакеты спокойно ходили.

Такой вариант

Код:

create access_profile ip tcp dst_port_mask 0xFFFF profile_id 1 deny
config access_profile profile_id 1 add access_id 1 ip tcp dst_port 135
config access_profile profile_id 1 add access_id 2 ip tcp dst_port 445

блокирует прохождение таких пакетов через свич вообще. Так?

А вот как привязать ACL к какому-то конкретному порту свича?

Вернуться наверх

Lexx

Заголовок сообщения:

Добавлено: Сб янв 22, 2005 15:59

Зарегистрирован: Сб ноя 08, 2003 23:23
Сообщений: 368
Откуда: Москва

В более следующих моделях можно, а тут низя.
Можно попробовать выкрутиться отфильтровав по какому-либо иному критерию - vlan, ip итп

Вернуться наверх

gelin

Заголовок сообщения:

Добавлено: Пн янв 24, 2005 07:24

Зарегистрирован: Ср ноя 17, 2004 16:53
Сообщений: 20
Откуда: Омск

Ну хорошо, берем еще vlan.
Пусть магистральный порт - это default vlan, а остальные порты - это некий vlan2.
Без поднятия маршрутизации не получиться сделать так, чтобы пакеты из vlan2 проходили на магистральный порт в нетагированном виде?

Вернуться наверх

Lexx

Заголовок сообщения:

Добавлено: Пн янв 24, 2005 09:31

Зарегистрирован: Сб ноя 08, 2003 23:23
Сообщений: 368
Откуда: Москва

Вы меня не поняли, я имел в виду что этот свитч не умеет в качестве критерия для фильтрации использовать номер порта. Однако, можно поразмыслить и найти ещё какой-то критерий, которому будут удовлетворять пакеты в магистральном порту. Необязательно для этого менять конфигурацию итд итп.
Т.е. например если у вас магистраль живёт в одном влане, а клиенты - в другом, то очевидно что нужно просто делать профиль фильтрации для магистрального влана.
А tag/untag-операции тут совершенно не причём.

Вернуться наверх

gelin

Заголовок сообщения:

Добавлено: Пн янв 24, 2005 10:17

Зарегистрирован: Ср ноя 17, 2004 16:53
Сообщений: 20
Откуда: Омск

Не, я так все и понял.

Но.

Если мы помещаем магистральный порт в отдельный влан, то возникает проблема передачи пакетов между вланами. Как я понял, без задействования L3 или внешнего маршрутизатора (который должен переваривать тагированные пакеты), это невозможно?

Еще один вариант "выделения" магистрального порта - фильтрафия по MAC-адресу шлюза (по IP не пойдет, т.к. тот самый msblast прет на самые различные адреса через шлюз). Но, как я понял, фильтровать одновременно на L2 и L3 тоже невозможно?

Вернуться наверх

Lexx

Заголовок сообщения:

Добавлено: Пн янв 24, 2005 14:31

Зарегистрирован: Сб ноя 08, 2003 23:23
Сообщений: 368
Откуда: Москва

gelin писал(а):

Я не предлагал помещать порт в отдельный влан, а лишь указал на один из вариантов поиска фильтра.
Как вариант навскидку например могу предложить иной вариант - разрешить сначала весь ip трафик в подсети, а потом зарезать весь netbios что не попал первое правило.

А касательно маршрутизации... ну тоже можно, конечно, тока я не понял зачем внешний роутер - у вас же DES-3[b]326SR - типа и так уже L3?

Вернуться наверх

Страница 1 из 1

[ Сообщений: 6 ]

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа

Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 168

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения