faq обучение настройка
Текущее время: Пт мар 29, 2024 15:39

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 13 ] 
Автор Сообщение
 Заголовок сообщения: DES-3226S: access_profile
СообщениеДобавлено: Вс дек 26, 2004 19:48 
Не в сети

Зарегистрирован: Пт янв 30, 2004 20:23
Сообщений: 61
Сделал на свитче:

create access_profile ip tcp dst_port_mask 0xFFFF deny profile_id 1
config access_profile profile_id 1 add access_id 1 ip tcp dst_port 135
config access_profile profile_id 1 add access_id 2 ip tcp dst_port 139
config access_profile profile_id 1 add access_id 3 ip tcp dst_port 445

create access_profile ip udp dst_port_mask 0xFFFF deny profile_id 2
config access_profile profile_id 2 add access_id 1 ip udp dst_port 135
config access_profile profile_id 2 add access_id 2 ip udp dst_port 139
config access_profile profile_id 2 add access_id 3 ip udp dst_port 445

create access_profile ip destination_ip_mask 255.255.255.255 profile_id 3 permit
config access_profile profile_id 3 add access_id 1 ip destination_ip 172.19.0.10

create access_profile ip source_ip_mask 255.255.255.255 profile_id 4 permit
config access_profile profile_id 4 add access_id 1 ip source_ip 172.19.0.10

create access_profile ethernet ethernet_type profile_id 10 permit
config access_profile profile_id 10 add access_id 1 ethernet ethernet_type 0x800
config access_profile profile_id 10 add access_id 2 ethernet ethernet_type 0x806

create access_profile ethernet source_mac 00-00-00-00-00-00 deny profile_id 11
config access_profile profile_id 11 add access_id 1 ethernet source_mac 00-00-00-00-00-00

Т.е. закрыл все порты протокола NetBIOS, дал IP 172.19.0.10 доступ в любом случае и отключил все протоколы отличные от IP и ARP.

Иду проверять на сервер:
# tcpdump -npi eth0 net 172.19.1.0/24 and ether broadcast | grep netbios
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
19:40:03.137175 IP 172.19.1.148.netbios-dgm > 172.19.15.255.netbios-dgm: NBT UDP PACKET(138)
19:40:07.808523 IP 172.19.1.109.netbios-dgm > 172.19.1.255.netbios-dgm: NBT UDP PACKET(138)
19:40:07.808527 IP 172.19.1.109.netbios-ns > 172.19.1.255.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
19:40:08.559013 IP 172.19.1.109.netbios-ns > 172.19.1.255.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST;

Т.е. пакеты NetBIOS проходят. Причем все пользователи сети 172.19.1.0/24 гарантированно висят на порту отличном от того на котором у меня сервер.
Вопрос, что я сделал не так?
Да, при всем при этом на свитче работают Asymmetric VLAN'ы может быть проблема в этом? Т.е. при наличии вланов нужно указывать их для каждого access_profile'а?
Я так понимаю profile'ы просматриваются также как и правила в них: в порядке убывания? Т.е. сначала просматривается профайл с номером 1, потом 2, 3 и т.д.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DES-3226S: access_profile
СообщениеДобавлено: Пн дек 27, 2004 10:12 
Не в сети

Зарегистрирован: Вс авг 17, 2003 12:18
Сообщений: 4387
Откуда: Moscow
hmepas писал(а):
Сделал на свитче:

create access_profile ip tcp dst_port_mask 0xFFFF deny profile_id 1
config access_profile profile_id 1 add access_id 1 ip tcp dst_port 135
config access_profile profile_id 1 add access_id 2 ip tcp dst_port 139
config access_profile profile_id 1 add access_id 3 ip tcp dst_port 445

create access_profile ip udp dst_port_mask 0xFFFF deny profile_id 2
config access_profile profile_id 2 add access_id 1 ip udp dst_port 135
config access_profile profile_id 2 add access_id 2 ip udp dst_port 139
config access_profile profile_id 2 add access_id 3 ip udp dst_port 445

create access_profile ip destination_ip_mask 255.255.255.255 profile_id 3 permit
config access_profile profile_id 3 add access_id 1 ip destination_ip 172.19.0.10

create access_profile ip source_ip_mask 255.255.255.255 profile_id 4 permit
config access_profile profile_id 4 add access_id 1 ip source_ip 172.19.0.10

create access_profile ethernet ethernet_type profile_id 10 permit
config access_profile profile_id 10 add access_id 1 ethernet ethernet_type 0x800
config access_profile profile_id 10 add access_id 2 ethernet ethernet_type 0x806

create access_profile ethernet source_mac 00-00-00-00-00-00 deny profile_id 11
config access_profile profile_id 11 add access_id 1 ethernet source_mac 00-00-00-00-00-00

Т.е. закрыл все порты протокола NetBIOS, дал IP 172.19.0.10 доступ в любом случае и отключил все протоколы отличные от IP и ARP.

Иду проверять на сервер:
# tcpdump -npi eth0 net 172.19.1.0/24 and ether broadcast | grep netbios
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
19:40:03.137175 IP 172.19.1.148.netbios-dgm > 172.19.15.255.netbios-dgm: NBT UDP PACKET(138)
19:40:07.808523 IP 172.19.1.109.netbios-dgm > 172.19.1.255.netbios-dgm: NBT UDP PACKET(138)
19:40:07.808527 IP 172.19.1.109.netbios-ns > 172.19.1.255.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
19:40:08.559013 IP 172.19.1.109.netbios-ns > 172.19.1.255.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST;

Т.е. пакеты NetBIOS проходят. Причем все пользователи сети 172.19.1.0/24 гарантированно висят на порту отличном от того на котором у меня сервер.
Вопрос, что я сделал не так?
Да, при всем при этом на свитче работают Asymmetric VLAN'ы может быть проблема в этом? Т.е. при наличии вланов нужно указывать их для каждого access_profile'а?
Я так понимаю profile'ы просматриваются также как и правила в них: в порядке убывания? Т.е. сначала просматривается профайл с номером 1, потом 2, 3 и т.д.

версия FW?
http://www.dlink.ru/technical/faq_hub_switch_45.php

_________________
С уважением, Карагезов Владислав


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DES-3226S: access_profile
СообщениеДобавлено: Пн дек 27, 2004 10:27 
Не в сети

Зарегистрирован: Пт янв 30, 2004 20:23
Сообщений: 61
Vladislav Karagezov писал(а):
версия FW?

402B кажется, точнее не могу сказать, у стрема опять проблемы с роутингом.
UPD: Ну вот стоит кому-нибудь пожаловаться и связь востанавливается: Firmware: Build 4.01-B33

Vladislav Karagezov писал(а):
http://www.dlink.ru/technical/faq_hub_switch_45.php

Ну из этой доки я правила и брал.
Или Вы о только что добавленной приписке:
Цитата:
Внимание: Кроме того, необходимо ЯВНО разрешить доступ к ip адресу управления коммутатором с ip адреса ПК управления или группы ip адресов. Это правило необходимо настроить первым с наименьшим profile_id, напр. 1


?
Если да, то вопрос без этого профайла другие профайлы просто работать не будут, или этот профайл нужен для того чтобы не потерять связсь со свитчем?

И еще так и не ответили на вопрос, профайлы просматриваются по возрастанию? Т.е. профайл с меньшим id, так же как и правило с меньшим id, имеет больший приоритет?

И кстати, вот чего в свитче сильно не хватает, так это возможности отката потаймауту. Например команды
reboot 300
Чтобы свитч ребутило через пять минут, если команда не будет отменена. Это бы сильно упростило работу со свитчем, а то приходится каждый раз посылать монтажника, который по сути инкапсулирует эту команду.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DES-3226S: access_profile
СообщениеДобавлено: Пн дек 27, 2004 10:53 
Не в сети

Зарегистрирован: Вс авг 17, 2003 12:18
Сообщений: 4387
Откуда: Moscow
hmepas писал(а):
Vladislav Karagezov писал(а):
версия FW?

402B кажется, точнее не могу сказать, у стрема опять проблемы с роутингом.
UPD: Ну вот стоит кому-нибудь пожаловаться и связь востанавливается: Firmware: Build 4.01-B33

Vladislav Karagezov писал(а):
http://www.dlink.ru/technical/faq_hub_switch_45.php

Ну из этой доки я правила и брал.
Или Вы о только что добавленной приписке:
Цитата:
Внимание: Кроме того, необходимо ЯВНО разрешить доступ к ip адресу управления коммутатором с ip адреса ПК управления или группы ip адресов. Это правило необходимо настроить первым с наименьшим profile_id, напр. 1


?
Если да, то вопрос без этого профайла другие профайлы просто работать не будут, или этот профайл нужен для того чтобы не потерять связсь со свитчем?

И еще так и не ответили на вопрос, профайлы просматриваются по возрастанию? Т.е. профайл с меньшим id, так же как и правило с меньшим id, имеет больший приоритет?

И кстати, вот чего в свитче сильно не хватает, так это возможности отката потаймауту. Например команды
reboot 300
Чтобы свитч ребутило через пять минут, если команда не будет отменена. Это бы сильно упростило работу со свитчем, а то приходится каждый раз посылать монтажника, который по сути инкапсулирует эту команду.

1. Никакой приписки нет - документ был выложен в существующем виде СРАЗУ около месяца назад.
2. профайл нужен для доступа к интерфейсу управления коммутатором.
3. Профили просматриваются начиная с того, который имеет наименьший id
4. reboot 300 - это вряд ли.

_________________
С уважением, Карагезов Владислав


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DES-3226S: access_profile
СообщениеДобавлено: Пн дек 27, 2004 11:01 
Не в сети

Зарегистрирован: Пт янв 30, 2004 20:23
Сообщений: 61
Vladislav Karagezov писал(а):
1. Никакой приписки нет - документ был выложен в существующем виде СРАЗУ около месяца назад.
2. профайл нужен для доступа к интерфейсу управления коммутатором.
3. Профили просматриваются начиная с того, который имеет наименьший id
4. reboot 300 - это вряд ли.


Спасибо за ответ
1. Видимо проглядел, прошу прощения.
2,3. Тогда не понятно почему в моем случае не работает запрет на NetBIOS?
Кстати в FAQe на конце правил стоит permit/deny тогда как у меня свитч permit/deny принимает только в описании профайла и ругается если его приписывать правилу. Это у меня прошивка старая?
4. Жаль. Но какая-то альтернатива ведь нужна? А то удаляешь VLAN -- теряешь связь со свитчем, причем VLAN ведь не был главным (т.е. сервер управления висел на другом VLANe).


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DES-3226S: access_profile
СообщениеДобавлено: Пн дек 27, 2004 11:07 
Не в сети

Зарегистрирован: Вс авг 17, 2003 12:18
Сообщений: 4387
Откуда: Moscow
hmepas писал(а):
Vladislav Karagezov писал(а):
1. Никакой приписки нет - документ был выложен в существующем виде СРАЗУ около месяца назад.
2. профайл нужен для доступа к интерфейсу управления коммутатором.
3. Профили просматриваются начиная с того, который имеет наименьший id
4. reboot 300 - это вряд ли.


Спасибо за ответ
1. Видимо проглядел, прошу прощения.
2,3. Тогда не понятно почему в моем случае не работает запрет на NetBIOS?
Кстати в FAQe на конце правил стоит permit/deny тогда как у меня свитч permit/deny принимает только в описании профайла и ругается если его приписывать правилу. Это у меня прошивка старая?
4. Жаль. Но какая-то альтернатива ведь нужна? А то удаляешь VLAN -- теряешь связь со свитчем, причем VLAN ведь не был главным (т.е. сервер управления висел на другом VLANe).

в FAQ описана настройка для FW 4.02b14 - если Вы заметили. Синтаксис для боле старых FW отличается - именно поэтому я и спросил в первом своем ответе про FW.
Обновите FW до последней версии и попробуйте настроить еще раз. Не забудьте сделать сброс свича к настройкам по умолчанию после обновления FW

_________________
С уважением, Карагезов Владислав


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DES-3226S: access_profile
СообщениеДобавлено: Пн дек 27, 2004 11:15 
Не в сети

Зарегистрирован: Пт янв 30, 2004 20:23
Сообщений: 61
Vladislav Karagezov писал(а):
в FAQ описана настройка для FW 4.02b14 - если Вы заметили. Синтаксис для боле старых FW отличается - именно поэтому я и спросил в первом своем ответе про FW.
Обновите FW до последней версии и попробуйте настроить еще раз. Не забудьте сделать сброс свича к настройкам по умолчанию после обновления FW


Простите за наглость, но все-таки в моей версии прошивки можно запретить NetBIOS или нет? Просто помимо этого мне ничего не нужно, зато силен страх огрести новыми, пока еще не известными граблями, после изменения версии прошивки.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DES-3226S: access_profile
СообщениеДобавлено: Пн дек 27, 2004 11:45 
Не в сети

Зарегистрирован: Вс авг 17, 2003 12:18
Сообщений: 4387
Откуда: Moscow
hmepas писал(а):
Vladislav Karagezov писал(а):
в FAQ описана настройка для FW 4.02b14 - если Вы заметили. Синтаксис для боле старых FW отличается - именно поэтому я и спросил в первом своем ответе про FW.
Обновите FW до последней версии и попробуйте настроить еще раз. Не забудьте сделать сброс свича к настройкам по умолчанию после обновления FW


Простите за наглость, но все-таки в моей версии прошивки можно запретить NetBIOS или нет? Просто помимо этого мне ничего не нужно, зато силен страх огрести новыми, пока еще не известными граблями, после изменения версии прошивки.

если закроете порты - то можно.

_________________
С уважением, Карагезов Владислав


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DES-3226S: access_profile
СообщениеДобавлено: Пн дек 27, 2004 11:49 
Не в сети

Зарегистрирован: Пт янв 30, 2004 20:23
Сообщений: 61
Vladislav Karagezov писал(а):
hmepas писал(а):
Vladislav Karagezov писал(а):
в FAQ описана настройка для FW 4.02b14 - если Вы заметили. Синтаксис для боле старых FW отличается - именно поэтому я и спросил в первом своем ответе про FW.
Обновите FW до последней версии и попробуйте настроить еще раз. Не забудьте сделать сброс свича к настройкам по умолчанию после обновления FW


Простите за наглость, но все-таки в моей версии прошивки можно запретить NetBIOS или нет? Просто помимо этого мне ничего не нужно, зато силен страх огрести новыми, пока еще не известными граблями, после изменения версии прошивки.

если закроете порты - то можно.


Фуф! Ну дык я же их и закрываю. Как писал в первом сообщении:

create access_profile ip tcp dst_port_mask 0xFFFF deny profile_id 1
config access_profile profile_id 1 add access_id 1 ip tcp dst_port 135
config access_profile profile_id 1 add access_id 2 ip tcp dst_port 139
config access_profile profile_id 1 add access_id 3 ip tcp dst_port 445

create access_profile ip udp dst_port_mask 0xFFFF deny profile_id 2
config access_profile profile_id 2 add access_id 1 ip udp dst_port 135
config access_profile profile_id 2 add access_id 2 ip udp dst_port 139
config access_profile profile_id 2 add access_id 3 ip udp dst_port 445

Эти команды ведь закрывают порты, нет?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DES-3226S: access_profile
СообщениеДобавлено: Пн дек 27, 2004 12:00 
Не в сети

Зарегистрирован: Сб ноя 08, 2003 23:23
Сообщений: 368
Откуда: Москва
hmepas писал(а):
create access_profile ip tcp dst_port_mask 0xFFFF deny profile_id 1
config access_profile profile_id 1 add access_id 1 ip tcp dst_port 135
config access_profile profile_id 1 add access_id 2 ip tcp dst_port 139
config access_profile profile_id 1 add access_id 3 ip tcp dst_port 445

create access_profile ip udp dst_port_mask 0xFFFF deny profile_id 2
config access_profile profile_id 2 add access_id 1 ip udp dst_port 135
config access_profile profile_id 2 add access_id 2 ip udp dst_port 139
config access_profile profile_id 2 add access_id 3 ip udp dst_port 445
(...)
Иду проверять на сервер:
# tcpdump -npi eth0 net 172.19.1.0/24 and ether broadcast | grep netbios
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
19:40:03.137175 IP 172.19.1.148.netbios-dgm > 172.19.15.255.netbios-dgm: NBT UDP PACKET(138)
19:40:07.808523 IP 172.19.1.109.netbios-dgm > 172.19.1.255.netbios-dgm: NBT UDP PACKET(138)
19:40:07.808527 IP 172.19.1.109.netbios-ns > 172.19.1.255.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
19:40:08.559013 IP 172.19.1.109.netbios-ns > 172.19.1.255.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST;

Я таки извиняюсь что тут вклиниваюсь, а собственно по что вы удивляетесь что вы эти пакеты видите? Вы ж udp'шные пакеты запретили по 135, 139 и 445 порту, а в приведённом вами дампе приведены пакеты адресованные на 137 и 138 порты.

И таки действительно обновите софт до 4.02B05,


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DES-3226S: access_profile
СообщениеДобавлено: Пн дек 27, 2004 12:27 
Не в сети

Зарегистрирован: Пт янв 30, 2004 20:23
Сообщений: 61
Lexx писал(а):
Я таки извиняюсь что тут вклиниваюсь, а собственно по что вы удивляетесь что вы эти пакеты видите? Вы ж udp'шные пакеты запретили по 135, 139 и 445 порту, а в приведённом вами дампе приведены пакеты адресованные на 137 и 138 порты.

:oops: Стыдна
Таки спасибо, Вы снова единственный проявивший сострадание.
Lexx писал(а):
И таки действительно обновите софт до 4.02B05,

Лучшее враг хорошего, пусть пока так поработает.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DES-3226S: access_profile
СообщениеДобавлено: Пн дек 27, 2004 12:37 
Не в сети

Зарегистрирован: Сб ноя 08, 2003 23:23
Сообщений: 368
Откуда: Москва
hmepas писал(а):
Lexx писал(а):
И таки действительно обновите софт до 4.02B05,

Лучшее враг хорошего, пусть пока так поработает.
Ну вообщем каждый сам, конечно, кузнец своего Щастья. Но таки уж поверьте чужому опыту - прошивки старше 4.01B23 и младше 4.02B05 (не включительно)... ммм, как бы это сказать, не очень удачные, главным образом потому что гонят ACL через CPU, что отвратительно сказывается на производительности, и может в ряде случаев привести к полному отказу в управлении.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DES-3226S: access_profile
СообщениеДобавлено: Пн дек 27, 2004 12:47 
Не в сети

Зарегистрирован: Пт янв 30, 2004 20:23
Сообщений: 61
Lexx писал(а):
hmepas писал(а):
Lexx писал(а):
И таки действительно обновите софт до 4.02B05,

Лучшее враг хорошего, пусть пока так поработает.
Ну вообщем каждый сам, конечно, кузнец своего Щастья. Но таки уж поверьте чужому опыту - прошивки старше 4.01B23 и младше 4.02B05 (не включительно)... ммм, как бы это сказать, не очень удачные, главным образом потому что гонят ACL через CPU, что отвратительно сказывается на производительности, и может в ряде случаев привести к полному отказу в управлении.

Верю и огромное спасибо за совет, но:
# ping -s1450 172.19.0.10
PING 172.19.0.10 (172.19.0.10) 1450(1478) bytes of data.
1458 bytes from 172.19.0.10: icmp_seq=1 ttl=30 time=4.39 ms
1458 bytes from 172.19.0.10: icmp_seq=2 ttl=30 time=4.87 ms
1458 bytes from 172.19.0.10: icmp_seq=3 ttl=30 time=4.34 ms
1458 bytes from 172.19.0.10: icmp_seq=4 ttl=30 time=4.33 ms
1458 bytes from 172.19.0.10: icmp_seq=5 ttl=30 time=4.32 ms
1458 bytes from 172.19.0.10: icmp_seq=6 ttl=30 time=4.34 ms
1458 bytes from 172.19.0.10: icmp_seq=7 ttl=30 time=50.5 ms
1458 bytes from 172.19.0.10: icmp_seq=8 ttl=30 time=4.35 ms
1458 bytes from 172.19.0.10: icmp_seq=9 ttl=30 time=4.33 ms
1458 bytes from 172.19.0.10: icmp_seq=10 ttl=30 time=37.7 ms
1458 bytes from 172.19.0.10: icmp_seq=11 ttl=30 time=4.36 ms
1458 bytes from 172.19.0.10: icmp_seq=12 ttl=30 time=4.45 ms
1458 bytes from 172.19.0.10: icmp_seq=13 ttl=30 time=4.39 ms
1458 bytes from 172.19.0.10: icmp_seq=14 ttl=30 time=4.36 ms
1458 bytes from 172.19.0.10: icmp_seq=15 ttl=30 time=4.35 ms
1458 bytes from 172.19.0.10: icmp_seq=16 ttl=30 time=4.35 ms
1458 bytes from 172.19.0.10: icmp_seq=17 ttl=30 time=4.35 ms
1458 bytes from 172.19.0.10: icmp_seq=18 ttl=30 time=4.37 ms
1458 bytes from 172.19.0.10: icmp_seq=19 ttl=30 time=4.39 ms

Т.е. пока я эти грабли не словил. Просто мне хочется быть последовательным в действиях.


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 13 ] 

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: Google [Bot] и гости: 53


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB