D-Link • Просмотр темы - Вечный вопрос про ACL

Сообщения без ответов | Активные темы

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа

Вечный вопрос про ACL

Модераторы: Victor Kolosov, Alexander Shebaronin, Demin Ivan, Sergei Asmankin, Denis Evgraphov, Sergik

Страница 1 из 2

[ Сообщений: 18 ]

На страницу 1, 2 След.

Предыдущая тема | Следующая тема

Автор

Сообщение

mikevlz

Заголовок сообщения: Вечный вопрос про ACL

Добавлено: Пт окт 26, 2007 14:38

Зарегистрирован: Чт мар 16, 2006 19:57
Сообщений: 129
Откуда: Волжский

FAQ я читал, меня интересует опыт, в частности - что именно режут господа админы с помощью ACL в операторских сетях... Мусор в виде Netbios, DHCP-сервер левый... что еще?

Вернуться наверх

secandr

Заголовок сообщения:

Добавлено: Пт окт 26, 2007 16:32

Зарегистрирован: Ср фев 01, 2006 10:11
Сообщений: 429
Откуда: Волгоград

Всё что мешает жить сети режится...

_________________
DES 3526 - флагман DLINKостроения

Вернуться наверх

Pritorius

Заголовок сообщения: Re: Вечный вопрос про ACL

Добавлено: Пт окт 26, 2007 20:04

Зарегистрирован: Сб дек 20, 2003 08:11
Сообщений: 728
Откуда: Rosnet, Комсомольск-на-Амуре

mikevlz писал(а):

Всё что вы перечислили плюс BOOT от некоторых сетевых. А вобще полезно раз в месяц-два прослухивать сеть и спмотреть а вось новая гадость вылезет. Но нетбиост резать как оче наш и спать будите спокойно как миниму 80% проблем уйдёт в никуда... главно чётко и аргументированно объяснить пользователям в чём прелесть жизни без нетбиоса

_________________
D-Link User: DGS-3612G, DES-3350SR, DES-3526, DES-3028, DES-3010G, DES-1210-28, DES-2110, DWL-900AP+, DWL-1000AP+, DWL-1040AP+, DWL-2100AP, DI-634M, DWL-G520M, DWL-G650M, DWL-G650, DAS-3248, DSL-300T, DSL-500T, DSL-504T, DMC-920, DCS-2101, DCS-910.

Вернуться наверх

snark

Заголовок сообщения: Re: Вечный вопрос про ACL

Добавлено: Сб окт 27, 2007 07:54

Зарегистрирован: Пн сен 27, 2004 18:18
Сообщений: 1642
Откуда: Vault 13

mikevlz писал(а):

что именно режут господа админы с помощью ACL в операторских сетях...

режут все что под руку попадется

вот например, надо было как то зафильтровать траффик, ну и нарисовал на скорую руку:

Код:

# мультикаст - в сад!
config igmp_snooping all state enable
config igmp_snooping querier all state enable
enable igmp_snooping

config router_ports_forbidden VLAN_NAME add 1-25

config multicast port_filtering_mode 1-25 filter_unregistered_groups

create multicast_range mult_deny from 224.0.0.1 to 239.255.255.254
config limited_multicast_addr ports 1-25 add multicast_range mult_deny
config limited_multicast_addr ports 1-25 state enable


# РРРоЕ
create access_profile                               ethernet ethernet_type        profile_id 1
config access_profile profile_id 1 add access_id  1 ethernet ethernet_type 0x8863 port 1-25 permit priority 3 replace_priority replace_dscp_with 25
config access_profile profile_id 1 add access_id 26 ethernet ethernet_type 0x8864 port 1-25 permit priority 3 replace_priority replace_dscp_with 25


# ARP (см. profile_id 7)
create access_profile                               ethernet ethernet_type        profile_id 2
#config access_profile profile_id 2 add access_id  1 ethernet ethernet_type 0x806  port  1 permit priority 1 replace_priority replace_dscp_with 8
#config access_profile profile_id 2 add access_id  2 ethernet ethernet_type 0x806  port  2 permit priority 1 replace_priority replace_dscp_with 8
#config access_profile profile_id 2 add access_id  3 ethernet ethernet_type 0x806  port  3 permit priority 1 replace_priority replace_dscp_with 8
#config access_profile profile_id 2 add access_id  4 ethernet ethernet_type 0x806  port  4 permit priority 1 replace_priority replace_dscp_with 8
#config access_profile profile_id 2 add access_id  5 ethernet ethernet_type 0x806  port  5 permit priority 1 replace_priority replace_dscp_with 8
#config access_profile profile_id 2 add access_id  6 ethernet ethernet_type 0x806  port  6 permit priority 1 replace_priority replace_dscp_with 8
#config access_profile profile_id 2 add access_id  7 ethernet ethernet_type 0x806  port  7 permit priority 1 replace_priority replace_dscp_with 8
#config access_profile profile_id 2 add access_id  8 ethernet ethernet_type 0x806  port  8 permit priority 1 replace_priority replace_dscp_with 8
#config access_profile profile_id 2 add access_id  9 ethernet ethernet_type 0x806  port  9 permit priority 1 replace_priority replace_dscp_with 8
#config access_profile profile_id 2 add access_id 10 ethernet ethernet_type 0x806  port 10 permit priority 1 replace_priority replace_dscp_with 8
#config access_profile profile_id 2 add access_id 11 ethernet ethernet_type 0x806  port 11 permit priority 1 replace_priority replace_dscp_with 8
#config access_profile profile_id 2 add access_id 12 ethernet ethernet_type 0x806  port 12 permit priority 1 replace_priority replace_dscp_with 8
#config access_profile profile_id 2 add access_id 13 ethernet ethernet_type 0x806  port 13 permit priority 1 replace_priority replace_dscp_with 8
#config access_profile profile_id 2 add access_id 14 ethernet ethernet_type 0x806  port 14 permit priority 1 replace_priority replace_dscp_with 8
#config access_profile profile_id 2 add access_id 15 ethernet ethernet_type 0x806  port 15 permit priority 1 replace_priority replace_dscp_with 8
#config access_profile profile_id 2 add access_id 16 ethernet ethernet_type 0x806  port 16 permit priority 1 replace_priority replace_dscp_with 8
#config access_profile profile_id 2 add access_id 17 ethernet ethernet_type 0x806  port 17 permit priority 1 replace_priority replace_dscp_with 8
#config access_profile profile_id 2 add access_id 18 ethernet ethernet_type 0x806  port 18 permit priority 1 replace_priority replace_dscp_with 8
#config access_profile profile_id 2 add access_id 19 ethernet ethernet_type 0x806  port 19 permit priority 1 replace_priority replace_dscp_with 8
#config access_profile profile_id 2 add access_id 20 ethernet ethernet_type 0x806  port 20 permit priority 1 replace_priority replace_dscp_with 8
#config access_profile profile_id 2 add access_id 21 ethernet ethernet_type 0x806  port 21 permit priority 1 replace_priority replace_dscp_with 8
#config access_profile profile_id 2 add access_id 22 ethernet ethernet_type 0x806  port 22 permit priority 1 replace_priority replace_dscp_with 8
#config access_profile profile_id 2 add access_id 23 ethernet ethernet_type 0x806  port 23 permit priority 1 replace_priority replace_dscp_with 8
#config access_profile profile_id 2 add access_id 24 ethernet ethernet_type 0x806  port 24 permit priority 1 replace_priority replace_dscp_with 8
#config access_profile profile_id 2 add access_id 25 ethernet ethernet_type 0x806  port 25 permit priority 1 replace_priority replace_dscp_with 8


# бродкасты идут следом за мультикастом
create access_profile                              packet_content_mask offset_0-15 0xffffffff 0xffff0000 0x0 0x0 profile_id 3
config access_profile profile_id 3 add access_id 1 packet_content_mask offset_0-15 0xffffffff 0xffff0000 0x0 0x0 port 1-25 deny


# ТСР шняга - туда же
create access_profile                                ip tcp dst_port_mask 0xffff profile_id 4
config access_profile profile_id 4 add access_id   1 ip tcp dst_port          42 port 1-25 deny
config access_profile profile_id 4 add access_id  26 ip tcp dst_port         135 port 1-25 deny
config access_profile profile_id 4 add access_id  51 ip tcp dst_port         139 port 1-25 deny
config access_profile profile_id 4 add access_id  76 ip tcp dst_port         445 port 1-25 deny
config access_profile profile_id 4 add access_id 101 ip tcp dst_port         593 port 1-25 deny
config access_profile profile_id 4 add access_id 126 ip tcp dst_port        2869 port 1-25 deny
config access_profile profile_id 4 add access_id 151 ip tcp dst_port        5000 port 1-25 deny


# UDP - за компанию с предыдущими
create access_profile                                ip udp dst_port_mask 0xffff profile_id 5
config access_profile profile_id 5 add access_id   1 ip udp dst_port          42 port 1-25 deny
config access_profile profile_id 5 add access_id  26 ip udp dst_port         137 port 1-25 deny
config access_profile profile_id 5 add access_id  51 ip udp dst_port         138 port 1-25 deny
config access_profile profile_id 5 add access_id  76 ip udp dst_port         445 port 1-25 deny
config access_profile profile_id 5 add access_id 101 ip udp dst_port        1025 port 1-25 deny
config access_profile profile_id 5 add access_id 126 ip udp dst_port        1026 port 1-25 deny
config access_profile profile_id 5 add access_id 151 ip udp dst_port        1027 port 1-25 deny
config access_profile profile_id 5 add access_id 176 ip udp dst_port        1900 port 1-25 deny


# в сеть ходить можно только разрешенным IP
create access_profile                               ip source_ip_mask 255.255.255.255 profile_id 7
#config access_profile profile_id 7 add access_id  1 ip source_ip      xxx.yyy.zzz.    port  1 permit priority 1 replace_priority replace_dscp_with 8
#config access_profile profile_id 7 add access_id  2 ip source_ip      xxx.yyy.zzz.    port  2 permit priority 1 replace_priority replace_dscp_with 8
#config access_profile profile_id 7 add access_id  3 ip source_ip      xxx.yyy.zzz.    port  3 permit priority 1 replace_priority replace_dscp_with 8
#config access_profile profile_id 7 add access_id  4 ip source_ip      xxx.yyy.zzz.    port  4 permit priority 1 replace_priority replace_dscp_with 8
#config access_profile profile_id 7 add access_id  5 ip source_ip      xxx.yyy.zzz.    port  5 permit priority 1 replace_priority replace_dscp_with 8
#config access_profile profile_id 7 add access_id  6 ip source_ip      xxx.yyy.zzz.    port  6 permit priority 1 replace_priority replace_dscp_with 8
#config access_profile profile_id 7 add access_id  7 ip source_ip      xxx.yyy.zzz.    port  7 permit priority 1 replace_priority replace_dscp_with 8
#config access_profile profile_id 7 add access_id  8 ip source_ip      xxx.yyy.zzz.    port  8 permit priority 1 replace_priority replace_dscp_with 8
#config access_profile profile_id 7 add access_id  9 ip source_ip      xxx.yyy.zzz.    port  9 permit priority 1 replace_priority replace_dscp_with 8
#config access_profile profile_id 7 add access_id 10 ip source_ip      xxx.yyy.zzz.    port 10 permit priority 1 replace_priority replace_dscp_with 8
#config access_profile profile_id 7 add access_id 11 ip source_ip      xxx.yyy.zzz.    port 11 permit priority 1 replace_priority replace_dscp_with 8
#config access_profile profile_id 7 add access_id 12 ip source_ip      xxx.yyy.zzz.    port 12 permit priority 1 replace_priority replace_dscp_with 8
#config access_profile profile_id 7 add access_id 13 ip source_ip      xxx.yyy.zzz.    port 13 permit priority 1 replace_priority replace_dscp_with 8
#config access_profile profile_id 7 add access_id 14 ip source_ip      xxx.yyy.zzz.    port 14 permit priority 1 replace_priority replace_dscp_with 8
#config access_profile profile_id 7 add access_id 15 ip source_ip      xxx.yyy.zzz.    port 15 permit priority 1 replace_priority replace_dscp_with 8
#config access_profile profile_id 7 add access_id 16 ip source_ip      xxx.yyy.zzz.    port 16 permit priority 1 replace_priority replace_dscp_with 8
#config access_profile profile_id 7 add access_id 17 ip source_ip      xxx.yyy.zzz.    port 17 permit priority 1 replace_priority replace_dscp_with 8
#config access_profile profile_id 7 add access_id 18 ip source_ip      xxx.yyy.zzz.    port 18 permit priority 1 replace_priority replace_dscp_with 8
#config access_profile profile_id 7 add access_id 19 ip source_ip      xxx.yyy.zzz.    port 19 permit priority 1 replace_priority replace_dscp_with 8
#config access_profile profile_id 7 add access_id 20 ip source_ip      xxx.yyy.zzz.    port 20 permit priority 1 replace_priority replace_dscp_with 8
#config access_profile profile_id 7 add access_id 21 ip source_ip      xxx.yyy.zzz.    port 21 permit priority 1 replace_priority replace_dscp_with 8
#config access_profile profile_id 7 add access_id 22 ip source_ip      xxx.yyy.zzz.    port 22 permit priority 1 replace_priority replace_dscp_with 8
#config access_profile profile_id 7 add access_id 23 ip source_ip      xxx.yyy.zzz.    port 23 permit priority 1 replace_priority replace_dscp_with 8
#config access_profile profile_id 7 add access_id 24 ip source_ip      xxx.yyy.zzz.    port 24 permit priority 1 replace_priority replace_dscp_with 8
#config access_profile profile_id 7 add access_id 25 ip source_ip      xxx.yyy.zzz.    port 25 permit priority 1 replace_priority replace_dscp_with 8


# все иные IP - в сад!
create access_profile                              ip source_ip_mask 0.0.0.0 destination_ip_mask 0.0.0.0 profile_id 8
config access_profile profile_id 8 add access_id 1 ip source_ip      0.0.0.0 destination_ip      0.0.0.0 port 1-25 deny


# все что не IP - так же в сад!
create access_profile                              ethernet source_mac 00-00-00-00-00-00 profile_id 9
config access_profile profile_id 9 add access_id 1 ethernet source_mac 00-00-00-00-00-00 port 1-25 deny

комменты - это чтоб те кто не въехал поняли в чем суть ... а суть в том что если не разрешить в 2-х правилах юзеру пользоваться локалкой от него ничего вредного не прилетит ... совсем ... РРРоЕ, почти по FAQ-у разруливлся на агрегации, благо там рулесов хватает ...

Вернуться наверх

pvl

Заголовок сообщения:

Добавлено: Вс окт 28, 2007 08:00

Зарегистрирован: Вт сен 18, 2007 08:57
Сообщений: 306
Откуда: SPb

ого, snark, спасибо огромное, за столь развернутый ответ.

Подскажите, как быть с DES-3550?
Если взять только запрет вируных портов и броадкастов...
Вобщем, у меня таблица ACL закончилась :oops:

Вернуться наверх

Demin Ivan

Заголовок сообщения:

Добавлено: Вс окт 28, 2007 21:12

Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow

А сколько у Вас правил использовано и как они распределены по портам?

Вернуться наверх

pvl

Заголовок сообщения:

Добавлено: Вс окт 28, 2007 21:22

Зарегистрирован: Вт сен 18, 2007 08:57
Сообщений: 306
Откуда: SPb

Вот эти, все не помещаются.

Код:

# ТСР
create access_profile                                ip tcp dst_port_mask 0xffff profile_id 1 
config access_profile profile_id 1 add access_id   1 ip tcp dst_port          42 port 1-50 deny 
config access_profile profile_id 1 add access_id  51 ip tcp dst_port         135 port 1-50 deny 
config access_profile profile_id 1 add access_id  101 ip tcp dst_port         139 port 1-50 deny 
config access_profile profile_id 1 add access_id  151 ip tcp dst_port         445 port 1-50 deny 
config access_profile profile_id 1 add access_id  201 ip tcp dst_port         593 port 1-50 deny 
create access_profile                                ip tcp dst_port_mask 0xffff profile_id 2
config access_profile profile_id 2 add access_id 1 ip tcp dst_port        2869 port 1-50 deny 
config access_profile profile_id 2 add access_id 51 ip tcp dst_port        5000 port 1-50 deny 


# UDP
create access_profile                                ip udp dst_port_mask 0xffff profile_id 3 
config access_profile profile_id 3 add access_id 1 ip udp dst_port          42 port 1-50 deny 
config access_profile profile_id 3 add access_id 51 ip udp dst_port         137 port 1-50 deny 
config access_profile profile_id 3 add access_id 101 ip udp dst_port         138 port 1-50 deny 
config access_profile profile_id 3 add access_id 151 ip udp dst_port         445 port 1-50 deny 
config access_profile profile_id 3 add access_id 201 ip udp dst_port        1025 port 1-50 deny 
create access_profile                                ip udp dst_port_mask 0xffff profile_id 4 
config access_profile profile_id 4 add access_id 1 ip udp dst_port        1026 port 1-50 deny 
config access_profile profile_id 4 add access_id 51 ip udp dst_port        1027 port 1-50 deny 
config access_profile profile_id 4 add access_id 101 ip udp dst_port        1900 port 1-50 deny 

...плюс еще 198 правил для DHCP и блокировки броадкастов, взято из FAQ

Код:

#DHCP, исключить порты с DHCP сервером.

create access_profile ip udp src_port_mask 0xFFFF dst_port_mask 0xFFFF profile_id 5 
config access_profile profile_id 5 add access_id 1 ip udp src_port 68 dst_port 67 port 2-50 permit 
config access_profile profile_id 5 add access_id 50 ip udp src_port 67 dst_port 68 port 2-50 deny

#IP броадкасты, исключить порты с DHCP сервером.

create access_profile packet_content_mask offset_16-31  0x0  0x0  0xFF  0x0 offset_32-47  0x0  0xFFFF  0x0  0x0 profile_id 6 
config access_profile profile_id 6 add access_id 1 packet_content_mask offset_16-31  0x0  0x0  0x11  0x0 offset_32-47  0x0  0x44  0x0  0x0 port 2-50 permit 
config access_profile profile_id 6 add access_id 50 packet_content_mask offset_16-31  0x0  0x0  0x11  0x0 offset_32-47  0x0  0x43  0x0  0x0 port 2-50 deny 

Вернуться наверх

Demin Ivan

Заголовок сообщения:

Добавлено: Вс окт 28, 2007 21:26

Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow

Ещё правил точно нет? Вы IP-MAC-Port Binding в режиме ACL не используете?

Вернуться наверх

pvl

Заголовок сообщения:

Добавлено: Вс окт 28, 2007 21:37

Зарегистрирован: Вт сен 18, 2007 08:57
Сообщений: 306
Откуда: SPb

Других правил точно нет. Обычная домашняя сетка (все видят всех)
Захожу на DES-3550 через телнет.
Сначала все ACL удаляю и смотрю, не осталось ли чего.
Потом вот в такой последовательности добовляю profile_id 5, 6, 1, 2, 3. ...на 4-м профиле вылетает с ошибкой: "Таблица переполнена!!"

В коммутатор DES-3526 все влезает, но там и портов меньше... поэтому и блоки фильтрации TCP и UDP не нужно разносить на 4 профиля.

Последний раз редактировалось pvl Вс окт 28, 2007 21:42, всего редактировалось 1 раз.

Вернуться наверх

Demin Ivan

Заголовок сообщения:

Добавлено: Вс окт 28, 2007 21:42

Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow

Пришлите пожалуйста конфиг устройства при котором дальнейшие попытки добавить правила заканчиваются этим сообщением.

Вернуться наверх

snark

Заголовок сообщения:

Добавлено: Пн ноя 26, 2007 18:28

Зарегистрирован: Пн сен 27, 2004 18:18
Сообщений: 1642
Откуда: Vault 13

pvl писал(а):

ого, snark, спасибо огромное, за столь развернутый ответ.

незачто

pvl писал(а):

Подскажите, как быть с DES-3550?

аналогично!

pvl писал(а):

Если взять только запрет вируных портов и броадкастов...
Вобщем, у меня таблица ACL закончилась :oops:

чтоб не заканчивалась берем сниффер в руки, думаем, потом рисуем нечто в духе:

Код:

# IP протокол + пакет не фрагментирован + порт (135, 137, 138, 139, 445 и не важно TCP или UDP)
create access_profile                                packet_content_mask offset_16-31 0xffff0000 0x0 0x00ff0000 0x0 offset_32-47 0x0 0x0 0xffff0000 0x0 profile_id 1
config access_profile profile_id 1 add access_id   1 packet_content_mask offset_16-31 0x08000000 0x0 0x00000000 0x0 offset_32-47 0x0 0x0 0x00870000 0x0 port 1-50 deny
config access_profile profile_id 1 add access_id  51 packet_content_mask offset_16-31 0x08000000 0x0 0x00000000 0x0 offset_32-47 0x0 0x0 0x00890000 0x0 port 1-50 deny
config access_profile profile_id 1 add access_id 101 packet_content_mask offset_16-31 0x08000000 0x0 0x00000000 0x0 offset_32-47 0x0 0x0 0x008a0000 0x0 port 1-50 deny
config access_profile profile_id 1 add access_id 151 packet_content_mask offset_16-31 0x08000000 0x0 0x00000000 0x0 offset_32-47 0x0 0x0 0x008b0000 0x0 port 1-50 deny
config access_profile profile_id 1 add access_id 201 packet_content_mask offset_16-31 0x08000000 0x0 0x00000000 0x0 offset_32-47 0x0 0x0 0x01bd0000 0x0 port 1-50 deny

# IP протокол + пакет не фрагментирован + протокол TCP/UDP + порт (67 (UDP), 68 (UDP), 1900 (UDP) и 2869 (TCP))
create access_profile                                packet_content_mask offset_16-31 0xffff0000 0x0 0x00ff00ff 0x0 offset_32-47 0x0 0x0 0xffff0000 0x0 profile_id 2
config access_profile profile_id 2 add access_id   1 packet_content_mask offset_16-31 0x08000000 0x0 0x00000011 0x0 offset_32-47 0x0 0x0 0x00430000 0x0 port 1-50 deny
config access_profile profile_id 2 add access_id  51 packet_content_mask offset_16-31 0x08000000 0x0 0x00000011 0x0 offset_32-47 0x0 0x0 0x00440000 0x0 port 1-50 deny
config access_profile profile_id 2 add access_id 101 packet_content_mask offset_16-31 0x08000000 0x0 0x00000011 0x0 offset_32-47 0x0 0x0 0x076c0000 0x0 port 1-50 deny
config access_profile profile_id 2 add access_id 151 packet_content_mask offset_16-31 0x08000000 0x0 0x00000006 0x0 offset_32-47 0x0 0x0 0x0b350000 0x0 port 1-50 deny

# IP бродкасты
create access_profile                                packet_content_mask offset_0-15 0xffffffff 0xffff0000 0x0 0x0 offset_16-31 0xffff0000 0x0 0x0 0x0 profile_id 3
config access_profile profile_id 3 add access_id   1 packet_content_mask offset_0-15 0xffffffff 0xffff0000 0x0 0x0 offset_16-31 0x08000000 0x0 0x0 0x0 port 1-50 deny

и усе ...

Вернуться наверх

Pritorius

Заголовок сообщения:

Добавлено: Вт ноя 27, 2007 02:31

Зарегистрирован: Сб дек 20, 2003 08:11
Сообщений: 728
Откуда: Rosnet, Комсомольск-на-Амуре

snark писал(а):

pvl писал(а):

ого, snark, спасибо огромное, за столь развернутый ответ.

незачто

pvl писал(а):

Подскажите, как быть с DES-3550?

аналогично!

pvl писал(а):

Если взять только запрет вируных портов и броадкастов...
Вобщем, у меня таблица ACL закончилась :oops:

чтоб не заканчивалась берем сниффер в руки, думаем, потом рисуем нечто в духе:

Код:

# IP протокол + пакет не фрагментирован + порт (135, 137, 138, 139, 445 и не важно TCP или UDP)
create access_profile                                packet_content_mask offset_16-31 0xffff0000 0x0 0x00ff0000 0x0 offset_32-47 0x0 0x0 0xffff0000 0x0 profile_id 1
config access_profile profile_id 1 add access_id   1 packet_content_mask offset_16-31 0x08000000 0x0 0x00000000 0x0 offset_32-47 0x0 0x0 0x00870000 0x0 port 1-50 deny
config access_profile profile_id 1 add access_id  51 packet_content_mask offset_16-31 0x08000000 0x0 0x00000000 0x0 offset_32-47 0x0 0x0 0x00890000 0x0 port 1-50 deny
config access_profile profile_id 1 add access_id 101 packet_content_mask offset_16-31 0x08000000 0x0 0x00000000 0x0 offset_32-47 0x0 0x0 0x008a0000 0x0 port 1-50 deny
config access_profile profile_id 1 add access_id 151 packet_content_mask offset_16-31 0x08000000 0x0 0x00000000 0x0 offset_32-47 0x0 0x0 0x008b0000 0x0 port 1-50 deny
config access_profile profile_id 1 add access_id 201 packet_content_mask offset_16-31 0x08000000 0x0 0x00000000 0x0 offset_32-47 0x0 0x0 0x01bd0000 0x0 port 1-50 deny

# IP протокол + пакет не фрагментирован + протокол TCP/UDP + порт (67 (UDP), 68 (UDP), 1900 (UDP) и 2869 (TCP))
create access_profile                                packet_content_mask offset_16-31 0xffff0000 0x0 0x00ff00ff 0x0 offset_32-47 0x0 0x0 0xffff0000 0x0 profile_id 2
config access_profile profile_id 2 add access_id   1 packet_content_mask offset_16-31 0x08000000 0x0 0x00000011 0x0 offset_32-47 0x0 0x0 0x00430000 0x0 port 1-50 deny
config access_profile profile_id 2 add access_id  51 packet_content_mask offset_16-31 0x08000000 0x0 0x00000011 0x0 offset_32-47 0x0 0x0 0x00440000 0x0 port 1-50 deny
config access_profile profile_id 2 add access_id 101 packet_content_mask offset_16-31 0x08000000 0x0 0x00000011 0x0 offset_32-47 0x0 0x0 0x076c0000 0x0 port 1-50 deny
config access_profile profile_id 2 add access_id 151 packet_content_mask offset_16-31 0x08000000 0x0 0x00000006 0x0 offset_32-47 0x0 0x0 0x0b350000 0x0 port 1-50 deny

# IP бродкасты
create access_profile                                packet_content_mask offset_0-15 0xffffffff 0xffff0000 0x0 0x0 offset_16-31 0xffff0000 0x0 0x0 0x0 profile_id 3
config access_profile profile_id 3 add access_id   1 packet_content_mask offset_0-15 0xffffffff 0xffff0000 0x0 0x0 offset_16-31 0x08000000 0x0 0x0 0x0 port 1-50 deny

и усе ...

Молоток! +1 :wink:

Вернуться наверх

pvl

Заголовок сообщения:

Добавлено: Вт ноя 27, 2007 09:42

Зарегистрирован: Вт сен 18, 2007 08:57
Сообщений: 306
Откуда: SPb

хм... люди, напомните, плиз, еще раз, что такое:
offset_0-15
offset_16-31
offset_32-47
offset_48-63
offset_64-79

а то смотрел FAQ и там что-то никаких ссылок и комментариев не увидел.

Вернуться наверх

Lebedev Maksim

Заголовок сообщения:

Добавлено: Вт ноя 27, 2007 10:23

Зарегистрирован: Пт авг 10, 2007 11:04
Сообщений: 277
Откуда: Moscow

Написано вот здесь:
create access_profile packet_content_mask
offset_0-15 0xffffffff 0xffffffff 0xffffffff 0xffffffff
offset_16-31 0xffffffff 0xffffffff 0xffffffff 0xffffffff
offset_32-47 0xffffffff 0xffffffff 0xffffffff 0xffffffff
offset_48-63 0xffffffff 0xffffffff 0xffffffff 0xffffffff
offset_64-79 0xffffffff 0xffffffff 0xffffffff 0xffffffff

где каждый offset_0-15 - это строка, длиной в 16 байт.
например:
offset_16-31 08004500 005459d6 0000802f b88e0a0a - 2-я строка в пакете, байты с 16 по 31.

Вернуться наверх

pvl

Заголовок сообщения:

Добавлено: Вс авг 24, 2008 16:33

Зарегистрирован: Вт сен 18, 2007 08:57
Сообщений: 306
Откуда: SPb

А кто чего режет на DGS-3627G ?
Для чего-то у него синтаксис ACL немного отличается от DES-3526.

Вернуться наверх

Страница 1 из 2

[ Сообщений: 18 ]

На страницу 1, 2 След.

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа

Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 30

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения