Пробовал закрыть порты вот так:
create access_profile ip tcp dst_port_mask 0xffff profile_id 1
config access_profile profile_id 1 add access_id 1 ip tcp dst_port 22 port 1-24 deny
Но я спокойно захожу по ssh (22-й порт) и НА комп, который воткнут в один из 24х портов, на которых запрещен 22порт, так и С него на любой другой комп.
Почему?

куда именно? на свич?

По SSH? все эти компы подключены в порты 1-24?

up
Террибл, зачем столько вопросов. Что не понятно тебе? Стоит свич, на нем прописано то, что приведено в 1-м посту. Воткнут комп в этот свич. Другой комп где-то в сети, не важно где. И я захожу по ссх с этих компов друг на друга без проблем. Хотя по идее с одного из компов не должОн заходить.

ACL-ы действуют только на входящий по порту трафик - может тут собака порылась? Например, один из компов воткнут в 25-26 порты.

_________________
не важно, из какого места растут золотые руки

правила могут не срабатывать, если до них есть разрешающее правило на этот трафик. У меня на этих свичах всё разрезается нормально:

create access_profile ip tcp dst_port_mask 0xffff profile_id 9
config access_profile profile_id 9 add access_id auto ip tcp dst_port 23 port 25-28 permit
config access_profile profile_id 9 add access_id auto ip tcp dst_port 23 port 1-28 deny
config access_profile profile_id 9 add access_id auto ip tcp dst_port 22 port 25-28 permit
config access_profile profile_id 9 add access_id auto ip tcp dst_port 22 port 1-28 deny

Разрешаю на аплинках, запрещаю абонентам, а на все порты делаю для экономии ACL.

Не, правил вообще нет, кроме этого. Оно первое. Не работает собака, хоть ты тресни. Экспериментальными путями я выяснил, что листы доступа работают только через packet_content_mask. А всё остальное не работает! Жуть. Во такое залито на железяку: 2.41.B03. Террибл, а у тебя что за прошивка.

Вот такая петрушка срабатывает, спасибо snark`у:
create access_profile packet_content_mask offset_0-15 0x0 0x0 0x0 0xffff0000 offset_16-31 0x0 0xfffff000 0x0 0x0 offset_32-47 0x0 0x0 0x0 0xffff0000 profile_id 2
# 135 (87)
config access_profile profile_id 2 add access_id auto_assign packet_content offset 12 0x88640000 offset 20 0x00214000 offset 44 0x00870000 port 1-28 deny
# 137 (89)
config access_profile profile_id 2 add access_id auto_assign packet_content offset 12 0x88640000 offset 20 0x00214000 offset 44 0x00890000 port 1-28 deny
# 138 (8a)
config access_profile profile_id 2 add access_id auto_assign packet_content offset 12 0x88640000 offset 20 0x00214000 offset 44 0x008a0000 port 1-28 deny
# 139 (8b)
config access_profile profile_id 2 add access_id auto_assign packet_content offset 12 0x88640000 offset 20 0x00214000 offset 44 0x008b0000 port 1-28 deny
# 445 (1bd)
config access_profile profile_id 2 add access_id auto_assign packet_content offset 12 0x88640000 offset 20 0x00214000 offset 44 0x01bd0000 port 1-28 deny

Но одно меня опечалило, что эта петрушка не закрывает порты на входящий к абоненту трафик. Т.е. режеца токо исходящий. Т.е. с машины, которая воткнута в свич с такой петрушкой, мне не доступны эти порты (135,137,138.139,445). Однако, зайдя с просторов интернета, оказывается, что эти порты(135,137,138.139,445) на машинке доступны. Еще не понял, эта конструкция закрывает TCP-порты? А UDP нет? Простите ламера, если что не так. П.С.Террибл, жду нумер прошивы.

ACL работает только на входящий по порту трафик. Если нужно резать входящий к клиенту трафик то это нужно делать на uplink.

ОГРОМНОЕ СПАСИБО, Иван! Респект!

Не за что!

Опс. Извиняюсь за благодарности. Я не на тот айпи долбился по ссх, поэтому подумал, что сработало. Но ща проверил, ниче не работает. Я и на аплинк ставил правило и на сам порт, и на оба сразу, не работает. Работает токо через packet_content_mask. Почему не работает? Помогите, пожалуйста, очень надо!

И еще вопрос. При таком вводе команд, пакеты фильтруются только при поднятом пппое или без поднятого пппое тоже фильтруются?:
# PPPoE Session (0x8864) + Protocol IPv4 (0x0021) + Destination port
create access_profile packet_content_mask offset_0-15 0x0 0x0 0x0 0xffff0000 offset_16-31 0x0 0xfffff000 0x0 0x0 offset_32-47 0x0 0x0 0x0 0xffff0000 profile_id 2
# 135 (87)
config access_profile profile_id 2 add access_id auto_assign packet_content offset 12 0x88640000 offset 20 0x00214000 offset 44 0x00870000 port 1-28 deny

Как почему? Потому!

Данные PCF фильтруют трафик, инкапсулированный в PPPoE, а обычные фильтруют обычный трафик.

_________________
LiveComm

Большое СПАСИБО! Теперь разобрался. Изначально я не понял, что простые листы доступа блочат не пппое-шный трафик. Спасибо еще раз, svsh1990

Люди, подскажите правило, которое будет дропать PPPoE пакетики внутри которых UDP Broadcast?
В терминологии циско: deny udp any host 255.255.255.255